近4万字看BMW L3智能驾驶系统

huangguang

宝马集团致力于为客户提供激动人心的驾驶体验，同时确保为所有道路使用者提供一个安全的移动生态系统。自动驾驶是车辆的下一个进化阶段，它为驾驶者提供了将驾驶中一些不太惊险的部分，如漫长的通勤时间，交给自动驾驶系统的选择。2018年，BMW Vision iNEXT概念车在洛杉矶国际车展上首次亮相。宝马的第一款以有条件的自动驾驶为功能的系列汽车--换句话说，宝马的第一款系列汽车可以在没有人类驾驶员在设计范围内不断监控驾驶任务的情况下自动驾驶--将以这款iNEXT概念车为基础。宝马集团认为，驾驶者应该有选择自己驾驶或被驾驶的权利。出于这个原因，BMW iNEXT将有两种模式：Boost模式和轻松模式。在Boost模式下，驾驶员可以保留传统的控制方式，以传统的方式驾驶iNEXT。在轻松模式下，驾驶者可以激活自动驾驶系统，将目光从道路上移开，专注于其他活动。 这种类型的自动驾驶，被称为有条件的自动驾驶，代表了自动化的第一个层次，在这种情况下，自动驾驶系统能够在一组特定的条件下执行完整的动态驾驶任务(DDT)；然而，当系统达到设计极限时，驾驶员必须准备好接管控制。这些设计极限被统称为设计运行域（ODD），代表了自动驾驶系统被设计为运行的物理和性能的边界。在iNEXT中实施的自动驾驶系统（以下简称SAE L3级BMW ADS）的设计限制包括：仅在最高速度为85英里/小时（或最高允许速度限制）的有限通道高速公路上提供该功能，仅在天气和环境条件允许车辆的传感器不受损害的情况下运行，以及其他类似情况。 本文将在以下各个方面详细介绍美国交通部2016年联邦自动驾驶汽车政策及其后续修订中强调的自动驾驶的每个安全方面。主要从以下几个方面进行介绍：

人机交互：解释了SAE L3级BMW ADS的驾驶界面是如何设计的，以提供直观和安全的操作。

目标和事件检测及响应：详细说明系统如何能够监测和应对其环境。

设计运行领域(ODD)：如上所述，将讨论系统的设计限制。

联邦、州和地方法律：将讨论系统如何纳入 "道路规则"。

接管：将解释在哪些情况下，当系统达到其设计极限时，系统如何将动态驾驶任务的控制权交还给驾驶员，或如何将车辆带到安全的静止状态。

耐撞性及碰撞后的行为：将详细说明汽车的安全性，将详细介绍车辆在碰撞过程中和碰撞后的安全问题。

数据记录和共享：将讨论系统收集哪些信息以及如何使用这些信息。

系统安全：将详细说明车辆是如何进行整体设计的，以确保即使在系统发生故障的情况下也能保证安全。

网络安全：将显示系统是如何设计的，以避免可能影响安全的操纵。

验证和确认：将讨论设计过程以及如何验证和确认系统达到其设计目标。

消费者教育和培训：将解释宝马将如何对其销售人员、客户和公众进行有关其系统的教育。

总的来说，本文每一章将详细介绍宝马如何确保所有道路使用者的安全。BMW对自动驾驶的未来充满期待，作为智能驾驶行业中的从业者，他山之石，可以攻玉，希望本文可以为同行交流学习。
概述：宝马的SAE L3级自动驾驶系统介绍

自动驾驶汽车是技术上的一个重大进步，有可能塑造未来的汽车，甚至改变未来的出行和交通方式。更高层次的汽车技术自动化的主要驱动力是:- 安全：减少由人类错误造成的车祸。- 效率和环境：通过新的城市交通解决方案，提高交通系统效率，减少在拥挤的交通中的时间。- 舒适：减少司机的认知负担。- 社会包容：增加老年人和残疾人用户的使用机会。驾驶辅助和自动驾驶的主题在宝马集团的未来战略中起着举足轻重的作用。在过去几年中，宝马集团在开发高级驾驶辅助系统（ADAS）与SAE L1级和L2级系统的经验基础上，正在采取一种进化的方法，向更高级别的自动驾驶系统（ADS）发展。BMW iNEXT将是BMW集团第一个提供SAE L3级（有条件自动驾驶）ADS的车型。自动驾驶汽车技术的开发主要是在德国慕尼黑附近的Unterschlei?heim的宝马集团自动驾驶园区进行的，该园区于2018年4月启用。

图1. 宝马集团的ADAS和ADS的发展时间线
BMW愿景：BMW Vision iNEXT

BMW Vision iNEXT提供了对未来个人交通的洞察力。作为宝马集团最新的愿景汽车之一，iNEXT象征着驾驶乐趣新时代的到来，并在2018年洛杉矶车展上进行了全球首发。BMW Vision iNEXT将突破性的设计与公司战略NUMBER ONE > NEXT中定义的未来活动领域--自动驾驶、互联互通、电气化和服务（统称为 "ACES"）相结合，并回答了这个问题。"当汽车不再需要由人驾驶，但仍然可以由人驾驶时，汽车将是什么样子？"汽车是人们生活和经验的一个内在组成部分。简而言之，它是人类的一个基本需要。因此，关于未来交通的讨论比以往任何时候都更多地围绕着人、人们的情感以及交通需求和偏好展开。自动驾驶、电气化和越来越多的智能网联所提供的可能性，将在未来为全新的体验和汽车旅行方式打开大门。同时，它们也有望改变人们的期望和生活习惯。BMW Vision iNEXT的驾驶者可以选择自己驾驶（在 "Boost"模式下）或被驾驶（在 "Ease "模式下）。"Boost "模式使用电力驱动系统，提供高度动态和几乎无声的驾驶体验，并实现零排放。在 "轻松 "模式下，车辆为驾驶者和乘客提供了一个空间，无论是车辆行驶还是停车情景下，使他们能够从事有兴趣活动。在未来，智能技术将以越来越微妙和不显眼的方式帮助人们。在BMW Vision iNEXT中，这些技术保持在背景和视线之外--因此被称为 " ShyTech"--只有在需要时或在驾驶员或乘客的要求下才会在车辆上应用。系列化生产的车辆：BMW iNEXT

基于BMW Vision iNEXT（该品牌的新技术旗舰）的量产车型将在未来几年内投入生产。BMW iNEXT的生产车型将在德国丁格芬工厂下线。随着全电动BMW iNEXT的推出，宝马集团将在自动驾驶（AD）的开发和商业化方面迈出下一步。该车将提供一些高级驾驶辅助系统（ADAS，见图2）和SAE L3级BMW ADS作为可选套件。这些ADAS功能可以分为以下几个子类别。安全辅助功能、驾驶员舒适功能和驾驶员信息。


图2.iNEXT中的先进驾驶辅助系统SAE L3级BMW ADS功能是为了在有限的高速公路上执行动态驾驶任务，包括自动变道，最高速度可达85mph。因为它是SAE L3级功能，它允许驾驶员放松，甚至从事其他事情。与所有SAEL 3级功能一样，驾驶员/用户必须保持足够的警惕性，以履行他/她作为准备接管用户的责任（见图3中的SAE L3级定义）。另一方面，驾驶员可以选择自己驾驶（在 "Boost "模式下使用iNEXT）：车辆将像传统车辆一样运行，驾驶员将得到ADAS的辅助功能。


图3. 根据SAE J3016的SAE级别定义
SAE L3级BMW ADS可以识别其性能极限（见设计运行域（ODD）），并向驾驶员发出接管请求（TOR），有足够的准备时间让驾驶员在达到系统极限之前执行接管（TO）。在不太可能的情况下，如果驾驶员没有在这段时间内接管驾驶任务，SAE L3级BMW ADS会执行风险缓解操作，即尽可能安全地使车辆完全停止（见接管（最小风险条件））。然而，有一些驾驶任务不属于SAE L3级系统的义务，因此仍将是驾驶员的责任的一部分。驾驶员将接受有关这些责任的教育（见消费者教育和培训）。这些责任包括，但不限于，以下义务：- 牌照和驾驶证。- 确保没有对车辆进行改装（如改装）。- 确保车辆有适合当时驾驶条件的正确轮胎（冬季、夏季），并且这些轮胎处于良好状态。- 确保车辆总体上处于良好的驾驶状态（例如，雨刷片/挡风玻璃没有裂痕）。- 驾驶员适合操作车辆（没有药物/酒精损害，没有瞌睡驾驶的风险）。- 驾驶员有足够的警惕性，在SAE L3级BMW ADS的提示下，能够接管驾驶任务。 1. 人机交互

"人机界面 "可以定义为互动系统（软件或硬件）的所有部分，它们为用户使用互动系统完成某项任务提供必要的信息和控制。应用于ADS，至少人机界面应该能够通过各种指示器告知用户ADS：运行正常，目前正处于ADS模式，目前 "不可用"，遇到故障，和/或要求从ADS向用户进行控制转换。SAEL3级BMW ADS是根据行业最佳实践和标准设计的。总之，人机界面允许用户安全、舒适地使用SAE L3级BMW ADS。 以下部分的范围是描述BMW如何设计、开发、评估、测试和验证其SAE L3级BMW ADS的人机界面（HMI）。几十年来，BMW一直在设计车辆的人机界面的时候，遵循以客户为导向和无干扰的驾驶体验的原则。随着SAE L3级BMW ADS的推出，用户的驾驶体验将得到进一步加强，当在SAE L3级BMW ADS的设计运行域（ODD）内操作时，他们有机会暂时将动态驾驶任务（DDT）移交给ADS。通过始终让用户了解SAE L3级BMWADS的状态以及他/她作为驾驶员和用户准备接管的责任，车辆的人机界面是实现SAE L3级BMW ADS安全和舒适使用的关键部件。在整个设计和开发过程中，BMW使用最先进的方法来确保实现这一愿景，从驾驶模拟器到试车场的驾驶测试和道路交通的研究。
1.1 自愿指导、最佳实践、行业标准、设计原则、内部流程和公司政策

除了相关的标准化文件和美国交通部的联邦自动驾驶汽车政策指导中给出的标准开发活动的综合清单外，在BMW的人机界面开发过程中，考虑并应用了一些相关的指导、最佳实践、行业标准和设计原则（见表3）。这个内部清单不断更新，以考虑到最先进的科学见解。同时，BMW依靠自己的内部流程，基于车辆的自动化水平和预期的驾驶员参与程度。根据SAE J3016，期望为DDT准备接管的用户能够接受任何L3级BMW ADS发出的干预请求，并作出适当的回应。当驾驶员接管驾驶任务时，SAE L3级BMW ADS应该传达所有必要的交通和环境信息，以确保安全驾驶。因此，为L3级BMW ADS系统的HMI开发与验证提供一个量身定做的过程。为了开发一个可理解的、容易使用的、安全的SAE L3级 ADS人机界面，BMW依靠基于ISO 9241 "人机交互的人机工程学 "的反复以人为本的设计过程，这也指导BMW的评估、测试和验证。这个过程的核心是四个相互依赖的以人为本的设计活动:1.    理解并指定使用的环境2.    指定用户需求3.    提出满足这些要求的设计方案4.    根据这些要求对设计进行评估我们还试图通过积极促进自动驾驶的人因研究方法的发展，并参与科学和公共讨论，来扩展现有的知识基础。 1.2 人机界面设计

BMW认识到，对于任何仍然依赖人类操作者作为准备接管的系统（见SAE L3级定义），可能存在与驾驶员意识和参与有关的人为因素挑战。因此，BMW的人机界面的可理解性是以安全为主要设计目标对所有操作状态进行评估的。这是在整个设计和开发过程中，通过大量的人机界面评估、经验性和非经验性数据来完成的。同样地，在必要的时候，与其他道路使用者的沟通也被研究。为了支持用户准备接管，系统包括一个驾驶员监测系统，以观察准备接管的用户是否清醒，是否坐在驾驶座上，是否系了安全带等。为了检测司机是否在TOR后接管了驾驶任务，司机监控系统还包括方向盘上的双手检测传感器、转向扭矩传感器和踏板位置传感器。如果驾驶员操作用户界面元素，打开车门，或试图换挡，这也将被传统汽车中使用的标准传感器检测到。BMW非常注意确保人机界面能够传达每一种操作状态，以及所有与驾驶员相关的额外信息。在这种情况下，如果信息能满足以下一个或多个目标，就被定义为相关信息。- 旨在改变用户行为的信息（例如，当前的系统状态，如 "L3级BMW ADS激活"，用户不再负责执行动态驾驶任务）。在iNEXT中，SAE L3级BMWADS的激活将通过不同的渠道进行沟通。一旦SAE L3级BMW ADS被激活，仪表盘上将出现相应的状态信息（见图4）。当SAE L3级BMW ADS被激活时，方向盘将被点亮为蓝色。(请注意：所有显示的图像、符号、图形、HMI元素和文本驾驶员通知都是概念性的，在此仅作说明。)

图4. 激活SAE L3级BMW ADS（示范性描述） - 显示系统状态和可能的限制（例如，系统不可用和系统故障）或不同的可能操作模式（例如，SAE一级驾驶辅助或SAE二级ADAS）的信息，用户可能会选择。表2中总结了SAE L3级BMW ADS的一些重要状态。

表2.SAE L3级BMW ADS的状态- 使用户互动更直观的信息（例如，通过方向盘上的按钮图5(b)激活SAE L3级BMW ADS的说明，图5（a），以及确认按下的按钮被接受，系统将被激活，图5（c））。

图5. 激活SAE L3级BMW ADS 正如BMW集成到系统中的其他功能一样，其开发目标是一个易于使用、直观的人机界面，并特别强调驾驶员的安全。与现有的系统（SAE L0级到SAE L2级）相比，驾驶员必须不断地监视这些功能，SAE L3级BMWADS可能--暂时--允许驾驶员从驾驶任务中转移注意力，同时仍然要求他/她作为一个准备接管的用户。这意味着必须避免出现这样的情况，即驾驶员认为SAE L3级BMW ADS是激活的，而事实上它并没有。因此，BMW实施了以下的设计方案。- 在L3级激活时，方向盘的颜色编码照明被使用（见图6），以使驾驶员在任何时候都能第一时间意识到他们在驾驶任务中的责任。当SAE L3级BMW ADS处于激活状态并以全部能力运行时，方向盘会被照亮为蓝色。当SAE L3级BMW ADS向准备接管的用户发出TOR时，方向盘的照明在首先显示预警告后变为黄色。如果驾驶员没有及时响应这个TOR，下一个警告阶段将被触发，方向盘将被照亮为红色。

图6.TOR：通过使用发光的方向盘和通知，让司机重新进入驾驶任务- 用户成功的TO也会通过不同的渠道进行沟通：方向盘的蓝色照明被关闭，并显示一条确认停用的信息，提醒司机他/她的责任，见图7。

图7. 停用TO成功后，用户被告知系统的状态（提醒他们的责任） - 结合听觉和视觉元素（仪表盘上的图形动画，以及方向盘上强烈明显的照明模式），以确保主动的SAE L3级BMW ADS和所有其他级别的自动化之间的过渡尽可能直观。- 针对用户所面临的特定场景，优化人机界面的感官部分。 1.3 与相关利益方的沟通和合作

BMW致力于不断优化其测试和验证方法，并与该领域世界领先的专家进行透明的讨论（见宝马与行业伙伴在《自动驾驶安全第一》白皮书上的合作）。因此，与独立的大学和研究机构合作，并在会议和同行评议的科学杂志上发表BMW的测试和验证方法。还积极参与国家和国际资助的联合研究计划，以推进和支持共同认可的ADS HMI测试和评估方法，如欧盟资助的L3 Pilot项目。总之，这种方法和BMW的基本流程使其能够开发出L3级BMW ADS，能够在相关操作条件下保持安全，同时提供优质的用户体验。
1.4 L3级的使用安全

关于不同级别的自动化程度的车辆（SAE L0-5级），用户的驾驶任务和责任随着自动化程度的提高而改变，也就是说，每个级别对用户提出了不同的要求（比较SAE J3016中按驾驶自动化级别划分的人类驾驶员和自动驾驶系统的角色，如图8所示）。随着SAE L3级自动驾驶系统的引入，模式发生了转变，因为这是第一次车辆使用者在自动驾驶系统启动时不需要监督它。因此，出现了责任划分的情况，这就带来了模式混乱的可能性。最重要的是，L2级和L3级很有可能被驾驶员混淆，因为两者都影响纵向和横向控制--虽然一个需要持续监督，另一个则不需要（见图9）。在具有不同自动化水平的车辆中（SAE L1级、L2级和L3级或更高），安全功能的一个非常重要和具有挑战性的目标是用户对实际驾驶模式及其附属责任和（驾驶）任务的正确解释：○ 在模式转换的时刻。○在一定时间内以相同的自动化模式驾驶。


图8. 白皮书 "自动驾驶安全第一 "中描述的用户和ADS在不同驾驶自动化级别中的角色  为了促进第三级功能的安全使用，应该满足以下人机互动的关键要求：○ 在激活，尤其是停用某种驾驶模式期间，以及在（由驾驶员发起的）从L3级到较低的自动化水平的过渡期间，可靠地检测驾驶员的预期行为（尽量减少假阳性和假阴性）。这一要求是指所有类型的HMI操作，包括远程控制。○ 以毫不含糊和可理解的方式表明实际的驾驶模式和驾驶员的责任。○ 促进对实际驾驶模式的自动化的适当信任。发出醒目且易于理解的接管请求（例如，结合声音和视觉信号），使车辆使用者有足够的时间接管人工控制并重新获得对形势的认识。监视驾驶员的疲劳状况，并在接管不受驾驶员状况影响的情况下尽早发出接管请求。这些要求在功能开发和验证阶段被考虑在内。为了确保该功能符合安全的人机互动要求，对不熟悉自动驾驶的对象进行了大量研究，以测试、评估和验证该概念。这意味着受试者对测试中的系统没有经验或事先了解。每个要求都是通过适当的使用来实现的。每个需求都通过合适的用例和测量标准来实现，这些用例和标准展示了用户如何在驾驶环境中处理任务。根据研究问题和相关用例，研究在驾驶模拟器或真实的汽车环境中进行。这些实证研究与经验丰富的人因研究人员的持续专家评估一起，有助于在开发阶段对概念进行稳步改进和优化，并为客户提供安全使用的功能。




图9. 根据SAE J3016，ADS的作用
2. 目标和事件检测与响应
正如人类驾驶员所需要的那样，SAE L3级BMW ADS必须持续监测并对驾驶环境做出反应。在监测方面，车辆使用一些集成传感器来感知其周围环境，这些传感器包括摄像头、毫米波雷达、激光雷达和超声波传感器。这些传感器相互配合，以便为车辆提供其周围环境的360°视图，然后将感知到的环境与高清晰度地图进行对照，以确定车辆在道路上的位置。这种感知还包括识别其他车辆和潜在的道路危险，所有这些都由车辆的车载处理系统进行分类，它可以对人、车、各种物体和潜在的危险情况进行分类。当车辆的环境被感知和分类后，使用来自传感器的信息作为输入来计划适当的下一步，然后车辆就按照这个计划的路径行驶。所有这些感应、计划和行动都是在几分之一秒内发生的，而且是连续发生的，这样就为安全、无缝的驾驶体验创造了一个连续的反馈回路。

将机器人和自动化战略中经典的 "感知、计划和行动 "框架改编为汽车ADS，该模型包括传感和感知（包括定位）、计划和控制以及执行和稳定，提供了一个与实施无关的一般观点。下图说明了这个一般的链路模型。



图10. OEDR过程
当SAE L3级BMW ADS在其定义的ODD中运行时，它负责持续检测与它的驾驶任务相关的ODD限制和对象，通过考虑其行驶路径内外的不同相关实体来决定适当的反应，并执行正确的驾驶计划或与用户和其他道路使用者互动。

截至目前，单一的传感器并不具备同时提供可靠、精确的检测、分类、测量和对不利条件的稳定性的能力。为了确保全面的可探测性，需要一个多模式的方法来涵盖所有相关实体的可探测性。这些实体包括但不限于定义允许操作区域的基础设施、其他道路使用者、障碍物和交通引导标志或可见的车道标记。

为了说明必要的高精确度，SAE L3级BMW ADS正在使用一个高性能的设置，包括几个雷达、几个摄像头、一个激光雷达、几个超声波传感器和一个高清地图，以捕捉所有外部的原地信息，并创建一个可靠的车辆周围世界的360°模型（见图11）。


图11. 传感器融合--多个传感器的组合，确保对周围环境的完整感知
不同传感器的规格描述如下（也见图12）:

- 摄像头：具有最高可提取信息含量的传感器，因为它能够捕捉到与人类感知相当的可见线索。确定范围的精度有限，对不利条件的敏感性高。

- 激光雷达：对结构化和非结构化元素的高精度测量。对环境条件的敏感性中等。

- 毫米波雷达：对移动物体的高精度探测和测量，在雷达操作范围内有适当的反射率，对天气条件有很强的适应性。

- 超声波雷达：完善的近场传感器，能够探测到与反射实体最近的距离。

除了这套车载舱外传感器外，高清地图被用作独立的信息来源。它有助于提高功能的质量和可靠性，精确计算出汽车的位置，并提供有关知识，例如，高速公路的终点、可驾驶的车道或易受伤害的道路使用者（VRU）概率增加的区域。这对于确保该功能只在其ODD中定义的道路类型上发挥作用是很重要的。图12给出了所使用的传感器的优点和缺点的概述。


图12. 各个传感器的优点和缺点
各种传感器对各种不利的天气条件有不同的敏感度。通过使用一起工作的传感器的组合，任何给定的传感器的局限性有可能被另一个传感器的优势所补充，从而允许增强功能，甚至在对任何给定的传感器可能具有挑战性的条件下。因此，不同传感器的融合将导致在很大范围内的恶劣天气条件下的整体优异结果。

在某些情况下，传感器能够在将数据传送到下一个处理单元之前，通过使用计算机视觉算法，用额外的信息丰富原始数据。例如，图13显示了经过处理的摄像机数据，包括物体检测和分类，以及识别的交通标志和检测的车道。


图13. 从摄像机传感器数据中进行物体检测和分类
通过将所有这些传感器的输入和高清地图的信息融合在一个处理单元中，ADS能够对周围的世界产生一个可靠的印象，这远远超出了单个传感器的范围。

这种对当前环境的解释能够预测其他道路使用者即将发生的行为。这一点很重要，因为如果不假设/预测其他交通参与者的未来位置，就不可能规划被控车辆的运动。

基于目前的环境模型及其预测的进展，该功能根据动态变化的道路和交通状况选择一种驾驶策略，例如，通过调整车辆的速度或轨迹。这使系统能够在考虑到驾驶员安全以及其他道路使用者的情况下，对当前的情况做出适当的决定。

比如说：

- 物体：只要没有其他道路使用者受到伤害，该功能就会避免与可能带来安全危险的物体接触（即，只要不危及其他道路使用者，就会转向以避免障碍物）。

- 易受伤害的道路使用者（VRU）行人：尽管并不期望在高速公路上经常遇到人，但这种可能性总是存在的，因此，仍然要实施适当的应对措施。如果一个人位于车辆的目标车道上，SAE L3级BMW的ADS通过转向和/或制动，在给定的系统限制内尽可能避免碰撞。如果该功能在通过一个站在BMW标的车道旁的人时，该功能尽可能地扩大与该人的横向距离，并根据与该人的可实现的横向距离降低速度。

- 易受伤害的道路使用者（VRU）摩托车: 除了上面提到的行人VRU，其他类别的弱势道路使用者可能会在ODD内出现，包括摩托车。由于BMW集团也是一家摩托车制造商，所以其敏锐地意识到SAE L3级BMW的ADS在检测此类道路使用者并作出适当反应方面的特殊需求。BMW的传感器经过设计和验证，可以考虑到摩托车，包括摩托车特有的情况，如分道行驶。

- 汽车: SAE L3级BMW ADS有一个合作驾驶策略。例如，该功能降低其速度，以使其他汽车更容易加入高速路入口或出口的交通流。SAE L3级BMW ADS还观察其他车道上的车辆以避免横向碰撞。车辆的尾部由雷达和摄像头监控，以促进安全变道。

如果在ODD内检测到不充分的条件，例如能见度差或风，该功能一般会降低速度，并增加与其他车辆的距离，如运行设计域（ODD）章节所述。此外，如果出现达到系统边界的情况，ADS会触发一个TOR给准备接管的用户，并为安全过渡到手动驾驶分配足够的时间。

3. 运行设计领域（ODD）

运行设计域是一组设计参数，SAE L3级BMW ADS在这些参数范围内运行。运行设计域包括为了使SAE L3级BMW ADS可操作而必须满足的所有条件。这些条件包括但不限于：地理限制，例如，SAE L3级BMW ADS只能在有限的高速公路上使用；环境限制，例如，如果BMW车辆的传感器检测到恶劣天气，会妨碍准确感知环境的能力；以及人类驾驶员的限制，例如，驾驶员必须系好安全带坐好，并保持清醒，等等。当ODD的所有条件得到满足时，SAE L3级BMW ADS能够代替人类驾驶员管理驾驶任务。一旦车辆达到其ODD的极限，车辆将向人类驾驶员发出接管请求，以示他们应该恢复对驾驶任务的控制。否则，车辆将恢复到最小风险状态，这将使车辆停下来。 ODD指的是SAE L3级BMW ADS的运行条件。这些条件包括但不限于环境条件，如天气和时间，地理条件，如道路类型和速度范围，以及法律要求。 在其地理ODD范围内，SAE L3级BMW ADS只能在有限的高速公路上激活和运行，与来往车辆有连续的结构隔离，没有直接交叉的交通或环岛。这种道路类型的特点是行人和自行车出现的概率很小。对这些激活条件的遵守将由车载传感器检测，例如，摄像系统，该系统正在监测像 "高速公路终点 "这样的交通标志，并且还将通过高清地图提供的信息得到保证。地理上的ODD包括地理围栏的边界和这些边界内区域的所有适用的交通规则。考虑到法律要求等各种因素，例如，SAE L3级宝马ADS被设计为在0至85mph的速度下运行。此外，自动驾驶车辆持续监测环境条件（环境ODD），以确保在所有条件下安全运行。例如，车辆的速度将根据一天中的时间、光线条件、如果路面摩擦系数太小（例如，如果路面上有雪或冰）或风太强而调整（见图14）。如果规定的条件发生变化，无法再实现安全驾驶，系统将自动向驾驶员发出TOR（如果合适），如果驾驶员没有进行TO，则启动风险缓解操作。由于SAE L3级系统仍然要求驾驶员作为接管用户，系统提供了一种方法来检测驾驶员是否在驾驶座上并系好安全带，以及他/她是否能够在规定的时间内接管驾驶任务（例如，他/她没有睡着），参见上述人机界面（HMI）中描述的驾驶员准备状态监测。如果这些条件没有得到满足，ADS将自动向驾驶员发出TOR，如果没有发生TO，则转移到最小风险状态。此外，如果SAE 3级BMW ADS检测到计划路线上的任何特殊情况，如司机走错路或施工区，将向司机发出接管车辆控制权的请求。


图14.环境条件对OEDR的影响 为了正确检测这些定义ODD限制的不同条件，不同的机载传感器的输入与机外信息相结合。表4给出了ODD分类过程中使用的传感器和信息的概述。监测系统的功能是通过不断的自我诊断来保证的。

条件	传感器/监测原理示例
驾驶速度	轮速传感器
道路类型	高清地图，环境模型（车载传感器的融合）。
摩擦系数	来自环境模型的摩擦系数（融合车载传感器）。
横风	偏离预计轨迹，
温度	温度传感器
路面和几何形状	环境模型（融合机载传感器），高清地图
(如倾斜度、横坡、坑洞等)	环境模型（车载传感器的融合），雨量传感器
雨、雪、雾	BMW车外服务器
极端天气条件	车内摄像头、座椅占用垫、安全带扣、踏板位置传感器、方向盘上的双手检测传感器、转向扭矩传感器

表4. 在ODD分类过程中使用的传感器和机外信息由于BMW集团不断提高其产品的质量，目标是通过 "空中"（OTA）更新来不断扩大ODD的范围，以提高安全性和最佳客户体验。与安全有关的ODD的重大变化将触发本自愿安全自我评估的更新。
4.联邦、州和地方的法律和法规

所有在美国销售的BMW汽车在设计上都符合联邦、州和地方对其设计、制造和性能的适用要求。iNEXT的生产版本将有传统的手动控制，将能够像其他BMW车辆一样驾驶，并将按照目前的要求制造。然而，由于SAE L3级BMW ADS将接管对驾驶任务的控制，在SAE L3级BMW ADS模式下操作时，它还将考虑到与车辆操作有关的相关州和地方法律，或 "道路规则"。BMW认识到，自动驾驶系统的法规正在制定过程中。因此，BMW正积极与利益相关者接触，以分享BMW对ADS的做法，并为潜在的新法规提供意见，这些法规将管理配备ADS的车辆的开发和部署到市场。在此期间，BMW正在根据相关行业和政府组织制定的最佳做法，周到地部署其SAE L3级BMW ADS。例如，美国国家公路交通安全管理局（"NHTSA"）已经在其联邦自动驾驶汽车政策（"FAVP"）中公布并更新了其对ADS测试和部署的指导。BMW公司根据NHTSA在FAVP和后续指南中提出的建议，提交了本自愿安全自我评估。由于监管框架条件可能随着时间的推移而改变，BMW正在为其ADS车辆配备空中（OTA）更新功能。这样，SAE L3级BMW ADS就可以在未来以安全和合法的方式运行。 遵守法律要求对BMW集团来说是最重要的。这包括遵守作为自我认证过程一部分的所有认证要求和遵守适用的道路交通法。
4.1 认证要求

基于BMW iNEXT的量产车正在开发中，既可以作为传统车辆驾驶，也可以在SAE Level 3 BMW ADS提供的SAE L3条件自动驾驶模式下驾驶。由于该车仍然具有传统的方向盘和传统的控制装置，所有适用的联邦机动车安全标准（FMVSS）都将得到满足。ADS的快速发展目前已经超过了相应法规的发展。BMW集团积极与世界各地的相关机构和利益相关者合作，支持ADS法规的制定。BMW还与行业团体和NHTSA合作，推进新的FMVSS的发展，这将(a)简化新安全技术的创新，(b)推进高度自动化汽车技术的安全。在未来，新的FMVSS和/或对现有FMVSS的修改可能会考虑到没有传统控制或传统座椅位置的车辆。BMW在推动这些修订和新标准的制定，并将继续与美国交通部（USDOT）和NHTSA接触，因为他们正在寻求优先考虑、制定和实施这些标准。BMW集团强烈支持制定联邦AV立法。一个全国性的技术中立的自动驾驶汽车监管框架将有助于加强NHTSA现有的安全监督，并将补充USDT在自动驾驶汽车政策指导方面的反复工作。此外，联邦反车辆立法将推动这些突破性的技术，同时支持美国的研究和投资。同时，BMW集团高度赞赏美国交通部和NHTSA在《2016年联邦自动驾驶汽车政策》中发布了关于配备ADS的车辆的指导意见；更新的《2017年自动驾驶系统。安全愿景2.0》；2018年《自动驾驶汽车3.0》。为交通的未来做准备；以及2020年的《确保美国在自动驾驶汽车技术方面的领先地位》。自动驾驶汽车4.0。这些文件为发展配备自动驾驶汽车的安全车辆提供了一个框架，并划定了联邦和州在迎来这个个人交通新时代中的适当角色。4.2 道路法规

道路法规通常由州和地方政府制定。宝马集团的有条件自动驾驶SAE 3级ADS的安全部署需要遵守这些法规，以促进与传统道路使用者的互动。在L3级中，一旦SAEL3级BMW ADS投入使用，ADS将执行所有的操作性驾驶任务，即SAE第3级功能在投入使用时也将负责遵守所有适用的车辆操作规则。对于那些与车辆在交通中的操作没有具体关系的交通法规（例如，确保货物被正确固定，并在需要时正确使用儿童安全座椅），驾驶员/落地准备用户仍将负责。遵守适用的道路交通法是OEDR的一个重要部分。如同对自驾车系统行为的其他要求一样，我们在自驾车系统内设置界限，以促进遵守适用的道路规则。哪些道路规则是适用的，也取决于ADS的ODD：由于BMW的SAE 3级BMW ADS被设计为只在有限的高速公路上运行，所以特别关注适用于高速公路情况的道路交通法。因此，BMW的SAE 3级BMW ADS被设计为对路标、跟随距离和速度限制作出适当的反应。像任何人类一样，ADS在某些外部条件下需要优先考虑道路规则，以维护交通安全。一个例子是，为了避免撞车，不得不穿越实心车道标志（例如，当两条高速路合并时）。在BMW的产品开发过程中，BMW将在SAE L3级BMW ADS系统推出之前，检查SAE L3级BMW ADS系统设计的每一条路线（见后文验证与确认）。为此，BMW集团将部署配备传感器和摄像头的测试车辆，以收集数据，用于验证和完善操作其ADS平台的车辆软件。验证过程的一部分将是确保所有的车辆系统和软件一起工作，能够按照相关的道路交通法在其ODD内操作车辆。 此外，BMW的高清地图还充实了其他信息，如特定地区的交通标志和速度限制。为了考虑到道路交通法的地区差异，ADS根据其当前位置（地理围栏）访问一个包含所有适用道路交通法的数据库。不一致的地方将被调查，如果需要，地图数据将被相应更新。BMW也认识到，"道路规则"经常随着时间的推移而改变。因此，BMW集团将设计其自动驾驶车辆，以适应因法律要求的变化而需要对其ADAS和ADS进行软件更新（包括在经销商处和通过OTA）。BMW将有一个评估团队负责持续监测法律的潜在变化，并将与实施团队一起参与及时的监管接触和提前规划，以确保满足适用的最后期限。
5. 接管（最小风险条件）

对于SAE L3级系统，当接近ODD出口或出现ADS故障时，一个接受能力强的 "准备接管用户 "应准备好接管驾驶任务。在SAE L3级BMW ADS的情况下，BMW iNEXT车辆的生产版本将在车辆确定不再满足上文第3章中详述的条件时将车辆的控制权移交给人类驾驶员。运行设计领域(ODD)不再满足，或者如果ADS系统出现故障，使SAE L3级BMW ADS不能完全保持对驾驶任务的控制。在系统需要接管时，SAE L3级BMW ADS将以视觉、听觉和触觉警报的形式向人类驾驶员发出一连串的警告，其紧急程度越来越高。这个警告级联包括SAE L3级BMW ADS的接管请求，并利用上文第1章人机交互界面中详述的HMI。如果准备接管的用户（即人类驾驶员）不接受接管请求的警告，SAE L3级BMW ADS将执行一个风险缓解操作。这简单地意味着，如果到达路肩不可行，例如在交通繁忙时，车辆将采取一种行动，直至并包括将车辆在硬路肩或交通车道上安全停车。 由于系统和ODD的限制（地理和/或环境），可能会出现ADS的持续安全运行不再可能的情况。这可能是由以下原因造成的：- 接近ODD的限制（上文第3章运行设计域（ODD））。- 通过连续监测相关车辆数据检测到的ADS内部的故障。- 通过传感器自我诊断检测到的退化状态下的操作。一个SAE 3级系统的用户始终是回退准备用户。在上述条件下，SAE 3级BMW ADS将要求回避准备的用户达到最小风险状态或接管驾驶任务。如果驾驶员在规定的时间内没有回应这一请求，系统将执行一个风险缓解动作。在TO过程中，ADS将继续执行驾驶任务，可能是在有限的功能范围内（例如，在后视传感器故障的情况下不执行变道）。为了在TO过程中支持用户并确保持续的安全驾驶，ADS会持续监测准备接管的用户并在任何时候评估他/她的TO准备情况。警告级别的特点适应于情况的紧迫性。警告级别的开发采用了不同的模式和各种人因研究，方法多样，以确保适当的驾驶员反应和对驾驶员的支持（见图15）。


图15.减轻风险接管过程在接近ODD极限时，警告级别包括一个初步/谨慎的TOR（第一个警告），在规定的反应时间过后，一个即将发生的TOR（第二个警告）。随着第一个警告的发出，SAE L3级BMW ADS符号从绿色切换到黄色。此外，人机界面显示出抓住方向盘的手。如果驾驶员不遵守要求，第二次警告出现，方向盘的颜色变为红色。这个视觉警告伴随着一个声音信号。在第三阶段，通过显示一个闪烁的红色方向盘和一个声音信号来发出警报。在不太可能发生的情况下，如果准备接管的用户不遵守TOR，已经实施了一个风险缓解功能。在这种情况下，车辆在考虑到当前的交通状况、系统的剩余功能能力和情况的严重性的情况下，试图达到一个最小的风险状态。风险缓解策略可能根据这些条件而变化，根据情况可能包括停在路肩上或停在当前的车道上（例如在交通堵塞中或如果失败的传感器不允许安全变道）。宝马汽车将根据情况找到一个适当的解决方案，将其他道路使用者的风险降到最低。一旦车辆到达安全位置，危险灯就会打开，并触发一个紧急呼叫（eCall）。

图a 变道停车到路肩的功能       图b 在行车道上停住的功能图16. 风险缓解过程的不同实施方式 如果激活的L3级BMW ADS检测到车辆即将与另一个道路使用者或障碍物发生碰撞的危险，并且没有足够的准备时间将控制权交还给驾驶员，那么ADS会在必要时减速至完全静止和/或自行执行自动规避动作，而无需驾驶员的额外输入。

图17.BMW iNEXT概念车中的冗余部分 此外，在评估风险时，触发接管的频率是至关重要的。BMW集团已经实施了不同的安全措施，以尽可能地减少这种频率。除其他外，这包括让驾驶员为TO做好准备的措施（见第1章。人机界面（HMI）），管理安全TO的时间预算，以及实施高水平的功能安全和冗余（见第9章，系统安全）。所有安全操作车辆所需的安全系统都有备份系统（见图17）。正如其他功能一样，SAE 3级BMWADS后备系统将根据宝马集团产品开发的高标准进行开发，包括功能安全、使用安全以及验证和确认。
6. 防撞性

被动安全对于任何车辆的设计都很重要，无论是否自动驾驶。此外，这款基于宝马iNEXT的量产车将具有“双重用途”，既可以使用传统手动控制，也可以在宝马SAE L3级ADS模式下实现自动驾驶。因此，iNEXT的被动安全开发与宝马其他车型的传统被动安全开发流程没有什么不同，并拥有与宝马其他车型相同的高耐撞性。具体来说，宝马考虑了联邦汽车安全标准(FMVSS)规定的设计要求，并考虑了美国交通部的新车评估计划(NCAP)和公路安全保险协会(IIHS)顶级安全奖等碰撞性能评估测试。由于SAE L3级的BMW ADS要求“备胎”用户能够接受重新获得驾驶任务的控制权，所以生产版的BMW iNEXT概念车保持了传统的座椅位置(即没有旋转座椅)。同样，车辆为所有其他乘客保持相同的传统安全机制(安全带、安全气囊等)，这样无论车辆以何种方式行驶，都能提供保护。最后，生产车辆将在车内加入行人保护措施，包括主动(自动紧急制动)和被动(吸收能量的保险杠/引擎盖)。 客户的安全对宝马集团来说至关重要。因此，在任何一款新车的产品开发过程中，“耐撞性”的话题都是重中之重。基于v型模型(见图18)，在开发过程的一开始，就对新车的耐撞性要求进行了定义。在定义需求时，我们考虑了最新的研究结果、通用标准测试、基于事故研究的内部碰撞场景和内部经验，更不用说基于法规的测试和全球消费者利益组织建议的测试。车辆层面的这些需求被转化为子系统的需求，并在下一步转化为单个组件的需求。在该过程的第二部分，对零部件、子系统和整车需求进行了验证。

图18 碰撞验证6.1 乘员保护

可系列的生产版本的BMW iNEXT可以选择配备SAE L3级 BMW主动安全ADS系统。因为所有宝马汽车测试,以满足或超过他们的市场的安全法规包括FMVSS,以及考虑消费者测试(NCAP)和宝马集团的内部标准,ADS和非ADS车辆都将以同样的方式保护车内人员。由于SAE 3级车辆属于“双用途”车辆，因此乘员保护将满足所有传统乘用车所需要满足的相同监管要求。BMW集团拥有数十年的汽车开发经验，以满足FMVSS的要求，BMW iNEXT概念车的生产版本将利用这一经验。为了在ADS和非ADS车辆中提供相同水平的乘员保护，两种车型都配备了相同的标准碰撞感应系统。此外，SAE L3级BMW ADS系统还配备了用于OEDR的更多传感器。这些额外的传感器专注于观察车辆外部发生的情况。增强的传感能力有助于增加ads车辆的主要优势——能够减少导致事故的关键情况的数量。BMW集团将继续研究这些新型传感器在改善乘员保护方面的潜在好处，以及碰撞前算法的潜在增强。使用SAE L3级BMW ADS时,准备接管用户必须在很短的过渡时期履行接管角色，因此改变标准的座位位置和内部配置的设计允许司机在必要时迅速获得控制权。因此，有条件的自动化排除了提供革命性的座位位置。在实施之前，即使是对座椅或方向盘位置进行微小的调整以提供模式感知，也要评估它们在碰撞情况下对乘员负载的影响。宝马SAE L3级ADS的激活要求之一就是要系好驾驶员的安全带。BMW iNEXT概念车的量产版将配备翻转传感器和惯性传感器、压力传感器，以启动约束系统和关闭高压电动系统。这些机制将在第7章碰撞后引发的行为中详细讨论。在儿童安全方面，生产BMW iNEXT汽车将达到或超过美国安全法规的要求，并考虑到全球的NCAPs。这包括在后排座椅的外侧位置的儿童约束系绳位置，以及安装儿童座椅评估在一些完整的车辆碰撞测试。儿童座椅检测也集成到前排乘客座位位置，根据FMVSS 208标准。
6.2 结构完整性

结构完整性是一项内部要求，适用于所有碰撞测试的BMW集团车辆的发展。这些碰撞测试包括美国、欧洲经委会、日本、韩国、中国的官方规定，以及全球消费者组织的测试，以及宝马集团自己的内部测试。考虑到这些测试的数量和种类，最终的车辆结构设计是为了平衡碰撞产生的能量分布和车辆的负载路径，这些路径的作用是分配来自许多不同方向和角度的力。作为一款面向全球市场开发的汽车，因此需要接受大量监管机构的碰撞测试，生产出来的宝马iNEXT汽车将拥有强大的结构布局。在宝马集团的工厂进行第一次碰撞测试之前，基于仿真的虚拟版的BMW iNEXT汽车已经经历了无数次的正面、侧面和后部碰撞。无论是从FMVSS 200或300系列标准，还是从消费者组织测试，原型开发的多个阶段都有助于验证和验证模拟(参见图18)。虽然虚拟测试提供了宝贵的见解，但BMW也依赖于物理碰撞测试:在车辆到达第一个客户之前，已经进行了100多次完整的车辆碰撞测试。破坏性组件测试提供了一些答案，以提高虚拟世界的准确性。 FMVSS 208:乘员碰撞保护(前碰撞)



图19所示:正面碰撞
FMVSS 301/305:燃料系统完整性、电解液泄漏和电击保护(后碰撞)



图20:后碰撞
FMVSS 214:侧面碰撞保护(侧面碰撞)



图21:侧向碰撞保护其他道路使用者

BMW iNEXT的生产车辆正在研发中，以保护行人和其他脆弱的道路用户以及其他道路车辆。自动紧急制动(AEB)和行人自动制动(AEB)将成为美国市场上的iNEXT的标装产品，它能探测行人，并对行人做出反应，已被证明能有效地减少事故总数。即使ADS不在时，这些系统也处于活动状态。 主动安全

安全辅助功能在耐撞性方面发挥着重要作用:它们是第一道防线，有助于避免碰撞和/或减轻碰撞的严重程度。图2列出了目前BMW系列车辆的主动安全功能。通过现场有效性评估，量化了BMW目前在市场上的主动安全功能的有效性。评估2014年至2017年生产的BMW汽车，同时配备自动紧急制动和车道偏离预警系统的车辆在配备至少一种约束系统的情况下，发生碰撞的可能性比未配备约束系统的车辆低23%。类似地，先前在图2(介绍)中列出的其他ADAS安全辅助功能为BMW iNEXT提供了避免或减轻碰撞的额外机会。2016年，BMW集团签署了一份关于实施AEB的谅解备忘录(MoU)， AEB提供了向前碰撞预警和碰撞紧急制动的结合。在这份谅解备忘录中，BMW集团承诺在美国生产的所有轻型汽车中，至少95%配备AEB。该系统可以帮助防止与静止的车辆或前面行驶的车辆，以及过路的行人发生事故。在许多情况下，如果无法防止崩溃，系统会帮助降低碰撞速度。在许多危急情况下，驾驶员会收到关于可能发生碰撞的两阶段警告(早期警告和急性警告)，见图22。配合急性预警，车辆可以由系统减速到最大的全减速。根据不同的情况，车辆可以刹车到完全停。


图22：AEB警报信号此外，警告阶段的不同阶段会传达给司机:- 红色照明车辆:预先警告-一级警告，例如，在预计有碰撞危险或与前方车辆距离很近的情况下。- 红色闪烁带声信号的车辆:当该车辆以较高的差动速度接近其他物体时，可发出紧急警告信号，以应对即将发生碰撞的危险。
7. 碰撞后引发的行为

宝马iNEXT概念车的量产版将能够进行自我诊断，包括在碰撞后。如果车辆认为SAE 3级BMW ADS的功能无法以安全的方式维护，将向人类驾驶员发出接管请求，SAE 3级BMW ADS将不再可能重新激活。对于更严重的事故，生产的iNEXT车辆将遵循与其他BMW车辆类似的程序。更具体地说，在碰撞前触发安全气囊保护乘客，设计合理的策略保证开门在碰撞后仍可打开，断开高压电池，激活危险警告灯，刹车以减少潜在的接触从事二次碰撞，和BMW发起紧急电话呼叫中心等操作，保证车辆在发生碰撞后乘客及道路使用者的安全。 BMW SAE L3级ADS的主要目标之一是，通过可靠的防御性驾驶策略，减少与手动驾驶相比发生严重车祸的可能性。如果系统预测即将发生的碰撞无法通过规避操作避免(例如，因为有其他交通参与者)，主动保护系统将以降低碰撞的严重性为先决条件。ADS和传统BMW车辆采用的碰撞检测系统是相同的，例如惯性运动/加速、压力和侧翻传感器。这意味着将优先检测乘员受伤概率高的碰撞事故。虽然系统也可以检测到较低严重程度的碰撞事故，但检测和响应这些碰撞的责任就落到了SAE L3级ADS的准备接管的用户身上。由于系统的响应取决于影响的严重程度，生产BMW iNEXT车型根据严重程度采用互补和重叠策略。
7.1 自我诊断

作为一个原则问题，ADS系统不断执行自检和验证，以确保安全运行。这包括(但不限于):- 传感器性能(例如，不对中，污垢)- 电子/电子元件的可用性和完整性(如电源)- 机械完整性(例如，轮胎压力，底盘对齐)如果车辆部件在碰撞过程中损坏，系统将尝试通过第9章中描述的冗余接管部件来执行指定的碰撞后行为。如果冲击对惯性传感器来说太低，这种自我诊断也会起作用。7.2 重新激活功能

只有通过所有检查才可能重新激活。这些检查发生在低或高严重影响，维修后，或只是在驾驶时。这些检查并不仅限于在崩溃之后才执行。如果碰撞损坏了任何组件(例如，损坏或错位的传感器)，故障将由系统本身检测到，而不可能重新激活SAE L3级BMW ADS功能。无论如何，在检测到碰撞后，如果没有相关的损坏，并且检测结果良好，则需要重新启动车辆进行所有检查，并重新启用SAE L3级BMW ADS功能。对于任何常规驾驶的车辆，SAE L3级车辆的驾驶员仍然有义务确保车辆在碰撞后的可行驶性。在维护或维修活动之后，不需要执行任何具体的活动。通过上述讨论的自诊断，确保了安全的激活和操作。任何没有按照宝马集团维修规范进行的维修或维护活动都可能导致故障的自我诊断。 7.3 事故后(包括安全气囊)

除上述过程外，惯性传感器检测到碰撞后，ADS将执行以下步骤:1)司机被提醒并发出一个TOR(参见第五章)。接管(最小风险条件))。2)如果驾驶员没有或无法恢复驾驶，考虑到对系统的损害，执行风险缓解策略，见第5章。接管(最低风险条件)3)执行了传统(非ads)驾驶的事故后机制。碰撞后策略示例：1.    自动开门。2.    高压电池断开。3.    启动危险警示灯。4.    触发/启动后碰撞AEB。5.    eCall(见下文)。
ADS的车载电源系统另一个事故后的措施，SAE L3级BMW ADS是断开其车载电源系统。如第9章所述。在系统安全方面，BMW集团认为有必要对SAE L3级的BMW ADS车载系统进行一定程度的冗余。当一个电源系统都出现故障时，第二个基将用于用户或者系统的接管，以使风险降到最低。宝马SAE 3级ADS系统的失效是通过车辆通信总线来执行的。碰撞通知会打开ADS电池中的一个半导体开关，并禁用/关闭ADS车载电源系统。
紧急呼叫(eCall)在某些条件下，如触发安全气囊，在相应严重程度的碰撞后，会立即发起自动紧急呼叫的紧急请求。碰撞自动通知不受按SOS键影响。当与宝马响应中心建立连接时，eCall LED闪烁绿色。随后，宝马应急中心与乘客取得联系，并采取进一步措施帮助他们。即使车内的人无法做出反应，BMW反应中心也可以在特定情况下采取进一步的措施来帮助他们。为此，车辆的当前位置(如果有的话)等数据将被传输到BMW响应中心，以确定必要的救援措施。
8. 数据记录与共享

所有BMW汽车都配备了事件数据记录仪(edr)，按照NHTSA的规定，它就像航空中使用的“黑匣子”一样，记录事故中的相关信息。除了传统的功能,产品的生产版本的BMW iNEXT概念车将配备扩展功能特性以及额外的数据采集设备来记录各种数据点,可以安全地送到BMW后台服务器用于未来的产品改进。客户的资料隐私是最重要的。因此，BMW遵守所有适用的数据隐私法律和指导方针，包括加州消费者隐私法案和汽车制造商联盟隐私指导方针。为了与这些标准保持一致，BMW为其客户提供了退出用于产品改进的数据收集的机会。在发生碰撞的情况下，车辆会存储一些数据点，可能用于碰撞的重建和分析。存储在EDR上的数据是加密的，只有在车辆所有者的明确许可下或在适用的法院命令下才能访问。用于产品改进目的而共享给宝马后端的数据不会被个人识别。 8.1 目的和概述

所有配备了高度自动化驾驶技术的BMW汽车，比如SAE L3级的BMW ADS，都具有大量的数据记录功能，可以准确地再现撞车相关事件。这些事件可以分为两类:- 直接参与(例如，碰撞、接近碰撞或避免碰撞的情况);- 间接参与(如二次碰撞引起的机动车辆的驾驶时在自动模式下，尤其是司机不在环，也就是说，司机没有注意到二次碰撞，因为他/她是从事其他允许任务而SAE L3级ADS)。为了实现这一目的，传统的事故数据记录仪(EDR)符合事故数据记录的监管标准，将配备一个额外的数据存储设备，用于记录车载系统、驾驶模型和环境数据的信息。该数据记录系统具有自诊断功能，并安全地存储数据，防止数据丢失、操作和未经授权的访问，即使在碰撞的情况下也能保持数据的完整性。数据记录系统存储来自车辆的预定义数据集，包括传感器数据(也可能包括摄像头数据)、车辆动作(OEDR)、任何接管行为和故障(例如:触发TOR的任何故障和/或过渡到最低风险条件，以及任何与坠毁相关的事件重建所需的其他信息)。BMW iNEXT车载和车载下的安全数据存储符合适用的隐私法律和法规，例如联邦法律(如《隐私法》)和州法律(如加州消费者隐私法)。此外，作为汽车制造商联盟(现为汽车创新联盟)的成员，宝马集团遵循“汽车消费者隐私保护原则”，该原则于2014年首次制定并于2018年更新。除了因为法律/责任原因而记录的车辆数据，数据收集也是SAE L3级BMW ADS持续改进的一部分，例如提高地图质量、识别道路变化、向其他车辆通报紧急情况等。这些数据用于产品开发过程中，为客户提高各种功能的质量。为此，相关数据被发送到安全的后端，并提供给开发部门进一步分析。客户被告知这些数据收集活动，如果他们选择不支持这些特性的开发，他们可以决定关闭日志记录功能。这些数据有助于了解功能的使用情况，并在经过彻底验证后与整个车队共享改进。
8.2 数据记录

(a)数据记录水平事件数据记录仪中的数据存储根据自动化程度分为以下几个部分:- Basic EDR:崩溃相关事件的基本信息，用于崩溃算法的重建- DAS EDR:驾驶辅助系统(DAS)对碰撞相关事件的影响- HAD EDR:高度自动化驾驶(HAD)SAE 3级+系统对车祸相关事件的影响。与法律/责任相关的碰撞数据被尽可能安全地存储在这些EDR片段中，在抗碰撞的长期内存存储中。 (b)记录数据 在发生事故的情况下，仅提供法律要求的数据和事故所必需的数据重建都储存在车内。这包括以下数据:- 车辆和乘客状态:指示灯、警示灯、乘员状态(座位占用、安全带状态、座位位置)、VIN等。- 约束系统状态:已部署安全气囊、安全带张紧器等。- 碰撞动态数据(从t = -100ms到t = 300ms):加速度值(x-， y-， z-轴)，delta-v(纵向和横向，碰撞前车辆的矢量差，速度和碰撞后车辆速度)，偏航率，偏航角等。- 碰撞前阶段数据存储在BasicEDR中(从t = -5s到t = 0s):车辆速度、油门踏板位置和刹车踏板激活、转向角度、转速、ABS、GPS位置和时间、里程、转向灯、危险警示灯激活、DSC干预/状态等。- 碰撞时数据存储在DAS EDR (t = -12 t = 0):高级驾驶员辅助系统(ADAS)功能状态、警告,手在请求(小时)/接管请求(TOR)手(HO) /接管(),最小的风险操作,车辆纵向干预和/或横向指导,等等。- 对于SAE L3级及以上的ADS,HAD EDR可以存储撞车前30秒的数据。 如果驾驶者没有激活SAE L3级BMW ADS，则不会存储任何有关SAE L3级BMW ADS的数据。选择ADS (SAE L3级及以上)相关的驾驶数据会被记录并存储在车内，最长可达3个月，然后自动覆盖(缓冲区)。 当车辆达到以下触发阈值条件时，就会发生长时记忆数据记录:- 避免碰撞:避免由AEB干预引起的碰撞(没有损坏车辆)。- 近撞:车辆在x轴或y轴方向的速度变化不小于在150ms的间隔内5mph(没有部署约束系统设备)。- 碰撞:安全气囊或其他约束系统装置的展开(例如，安全带张紧器)。只有在发生碰撞时，通过安全气囊或其他约束系统装置，长期记忆中的记录数据才会被锁定，不会被进一步覆盖。否则记录的数据会被覆盖。
(c)数据检索数据存储在车辆中，可以通过法院命令或车辆所有者的请求(在车辆拥有期间)通过OBD端口和/或直接从事件数据记录器组件(安全气囊控制单元)检索。远程数据检索尚未实现。法律规定的数据可以用可用的读出工具检索。所有存储的数据都在每个EDR系统中加密。
8.3 数据收集 (一)基本原则 除了EDR系统之外，这些车辆还配备了一个基础设备和功能，可以根据需要收集数据，例如，当使用某个功能时。一些功能，如紧急呼叫或自动驾驶功能，需要一个后端连接来发送和接收数据，这是其功能概念的一部分。这个通信通道使用的一个非常知名的特性是地图上的交通信息和地图本身。为了AD的安全性，当车辆遇到危急情况时，它可以通知附近的车辆，使其能够迅速做出反应。这是目前实施在BMW汽车，通知其他BMW司机危险的交通条件，例如。 此外，需要从车辆的数据来提高功能的质量，特别是在不寻常的驾驶情况下。如果发生这样的事件，将向后端发送一组分析所需的数据。触发器条件和相关数据是在开发过程中定义的，但可以在数据收集过程中修改，以获取相关信息。
(b)数据保护和安全 收集和发送到后端的数据经过仔细处理，以满足数据保护的所有法律要求。这包括车辆和后端之间的加密传输，以及通过最终存储对整个数据链的定期评估。BMW集团建立了内部数据保护评估流程，确保车辆特定数据的所有数据记录和处理活动的数据保护和安全。数据处理的变化将导致更新数据保护评估。
(c) 匿名化 数据的匿名化是车辆从接收数据到存储数据的一个重要步骤。一般而言，无须提供个人资料。因此，我们只记录灰度图像数据，并将分辨率降低到所需的最小值。BMW不会使用在SAE L3级场景中收集的任何数据来识别任何人。例如，任何被视频捕捉到的人都被简单地归类为“交通中的移动物体”。
9. 系统安全

量产版的BMW iNEXT概念车将是，一般而言，就其系统的发展而言，没有不同于任何其他BMW汽车。换句话说，BMW遵循相同的开发流程，以确保所有车辆的系统安全。这些流程包括功能安全性国际ISO标准(ISO 26262)和预期功能安全性(ISO/PAS 21448)以及其他强大的BMW内部流程。功能安全流程需要进行危害分析和安全风险评估，这赋予了汽车安全完整性等级(ASIL)的属性。对于高度安全相关的功能，已经建立了特定的冗余，以便这些系统的故障不会造成不合理的安全风险。这种情况可以分为三类:“故障操作”，即一个传感器可能出现故障，但冗余传感器可以继续安全运行系统;“故障降级”，当故障发生时，系统仍可运行，但可能不具备全部功能;“故障安全”指的是系统不再运行，但故障不会造成不安全的情况。第5章讨论的风险缓解策略是SAE L3级BMW ADS故障安全操纵的一个例子：接管(最小风险条件))。随着SAE L3级ADS的改进，一个强大的更新过程变得至关重要。iNEXT生产车辆将配备空中(OTA)更新能力。这些软件更新在开发、验证和部署策略方面遵循行业最佳实践，以便及时交付给车辆。 BMW集团在安全创新方面有着悠久的历史，其开发过程基于实现系统安全的系统方法。 9.1 设计和验证过程 在过去的几年里，越来越多的先进功能被引入到车辆中。这些先进的系统严重依赖于传感能力、复杂算法的处理，以及通过电气和/或电子(E/E)系统驱动。 BMW汽车的坚固性和可靠性都很高。这是唯一可能的，因为稳定安全的设计是BMW集团的设计验证和验证过程的一个组成部分。对于安全相关系统，这是最重要的。 为了确保过程和产品的安全性的最高可能的稳定性，BMW已经纳入了外部和内部的安全标准。BMW集团的设计流程包括ISO 26262功能安全、ISO/PAS 21448预期功能安全(SOTIF)的应用，以及一系列内部流程，包括但不限于开发程序框架“理念提供”和整车电动/电子集成流程。 车辆安全是“没有因E/E系统故障而产生的不合理风险”(ISO 26262)。ISO 26262进一步描述了危害分析和风险评估:危害分析和风险评估侧重于由部件故障引起的潜在风险。基于这一评估，可以定义降低这些风险的高级安全目标。此外，ISO 26262包含了防止和减轻系统故障和随机硬件故障的要求和建议，这些故障可能会对安全目标的实现产生影响。 即使一个系统依靠传感器来识别其周围环境，没有任何ISO 26262中规定的故障，预期的功能或系统的性能限制可能会导致潜在的危险行为。这就导致了SOTIF的定义:由于这些与此类限制相关的潜在危险行为，不存在不合理的风险。一个关键的安全因素是确保用户正确理解ADS，这将在第12章中详细讨论。消费者教育。 所有这些安全标准都依赖于一个基本的安全概念:他们的目标是消除不可接受的风险。ISO 26262为安全ADS的初始设计提供了有用的指南，以满足这一目标。因此，BMW集团将ISO 26262定义的“基于风险的方法”始终如一地贯穿于整个产品开发过程。
图23显示了如何使用风险降低方法的定义(根据ISO 26262的汽车安全完整性等级(ASIL)) 该标准分为五种不同的分类:QM、ASILA、ASIL B、ASIL C和ASIL D. 其中QM表示除了必要的标准质量措施外，不需要采用ISO 26262。完整性的最高要求被分类为ASIL D:这一级别表示在发生故障的情况下，可能会造成严重的生命威胁或致命伤害。因此，ASIL D设置最高阈值，以确保相关的安全目标是适当的，并已充分实施。

图23-基于ASIL的可容忍剩余风险的降低 自动驾驶功能的复杂性，再加上即使在高度自动化(SAE L3级以上)的情况下，驾驶员也有可能进行干预，这就增加了确保功能安全(不存在系统缺陷)并采取适当安全措施的必要性。因此，宝马集团也为SAE 3级以上的功能实施了ISO/PAS 21448 SOTIF标准。如第11章验证和确认(V&V)所述，通过现场测试和验证来创建必要的“证据”。 如果上述安全标准不能涵盖某些系统安全方面，BMW集团将纳入其他安全标准和其他工业部门的最佳实践的元素，即IEC 61508。ISO 26262的一般基础IEC 61508可以帮助解决可用性问题和相应的体系结构模型。 基于ISO 26262的自动驾驶系统安全评价的一部分，也是对高清地图等非车辆要素的安全评价。SAE L3级BMW ADS使用的高清地图提供了一种机制，为SAE L3级BMW ADS提供即将到来的路段信息。这些信息与SAE 3L级BMW ADS的地理ODD要求相比较，是激活SAE L3级BMW ADS的必要前提，使得地图输入与安全相关。因此，高清地图也被视为整车验证方法的一部分。 9.2 危害分析和安全风险评估

BMW严格按照iso26262系统安全标准进行危害分析和安全风险评估。对于上面讨论的ISO/PAS 21448 SOTIF，以类似的方式使用这种分析来定义使用的安全功能。 SOTIF评估通常会导致功能的调整，例如，性能的限制，以允许在无故障条件下的安全功能。功能体系结构，BMW集团区分技术SOTIF SOTIF和人类因素,如所示的措施验证可以通过技术设计决策(安全-设计)或由人类行为的验证系统的安全运行(设计决策与评估风险)。在功能安全方面，还定义了驾驶功能的安全目标，并根据ISO 26262导出了功能和技术安全概念。 9.3 冗余设计

在故障条件下，安全功能可以通过“故障操作”策略(冗余)、“故障降级”策略(带降级操作)或“故障安全”策略(使车辆安全停车)来实现。选择哪种方法取决于故障条件下设计元素的性质和系统的剩余功能。 考虑到的设计安全因素包括:- 设计架构- 传感器- 执行器- 通信失效- 潜在的软件错误 - 可靠性- 潜在的控制不足- 不良控制措施- 可能与环境物体及其他道路使用者发生碰撞- 可能由ADS操作引起的潜在碰撞- 离开车道- 失去牵引力或稳定性- 违反交通法规- 偏离正常/预期的驾驶方式 在考虑iso26262和IEC61508的要求并选择一个安全概念后，确定了设计要求，然后可以推导出自动驾驶系统的架构。 BMW集团看到了多元化冗余(多样性)的必要性:主通道和次通道本身都是冗余的，并且有自己的诊断单元。这允许检测故障下的通道，并让其他通道接管。当故障同时影响两个通道时，第三个基本通道将接管，以使风险降到最低。图24显示了实现的冗余概念的概览


图24：在宝马ADS中实现冗余概念9.4 安全策略(ADS故障)

实现冗余的目标是允许驾驶员作为后备用户接管驾驶任务。如果准备接管用户没有接管驾驶任务，就会触发风险缓解策略(参见第5章)。风险缓解策略确保安全操作，直到达到故障安全状态(即驾驶员接管驾驶任务或车辆完全停止)。当SAE L3级BMW ADS无法保证安全持续运行时，将会执行，例如:如果标准的TOR被司机忽略了-由于环境条件中的危险导致传感器或执行器性能下降(传感器致盲，低摩擦值等);而且,-由于车辆部件的故障(机械，E/E)。失败操作策略如图25所示。


图25：操作失败的策略
9.5 软件开发过程 软件对车辆功能的影响正在稳步增加。为了体现这一日益增长的影响力，BMW集团开发了一系列流程，以控制所有复杂的电子车辆控制系统在各个层面的研发(软件、硬件、子系统、系统和整车)。 软件开发过程基于ISO 26262的适用部分。这包括将安全目标分解为软件需求和体系结构，如上所述。通过变更控制管理，这被分配到所有的开发部门(包括供应链)，并且是整个系列开发过程的一部分。文件和变更管理流程是UNECE复杂电子车辆控制系统类型审批的常规部分(UNECE R79附件6,UNECE R13H附件8)。在美国，自我认证也实施了类似的流程。 BMW集团的人工智能(AI)安全战略是以故障退化概念为基础开发自动驾驶功能。这意味着，包括人工智能算法在内的性能层总是由确定性开发的安全层来保护，该安全层负责所有安全功能。在自动驾驶过程中，这些安全功能总是活跃的，并控制车辆的行为。安全功能完全独立于性能层。 9.6 软件更新过程 在车辆获得认证后，甚至在首次注册后，更新车辆的软件越来越重要，例如，用于解决安全问题，执行软件修正和支持召回。根据未来联合国网络安全和空中更新法规的概念(见联合国网络安全和OTA问题工作队(CS/OTA))，BMW车辆的软件总是在相应的车辆级别上进行开发和验证。 经过开发和验证的软件更新仍然可以通过传统的、完善的系统通过零售机构进行软件更新，而OTA软件更新已经成为一个重要的选择。无论更新是通过经销商的物理连接执行还是通过远程空中执行，它都不会在验证过程之前发布(参见第11章)验证和确认(V&V))已经完成。为确保软件符合适用的安全标准，该软件在交付客户车辆前，会在BMW测试车辆上由受过专业训练的安全司机进行测试。在试验场和公共道路上测试新软件之前，BMW会进行一项考虑到安全司机角色的风险分析，以确保道路交通安全不受影响。 为管理软件更新而制订的主要程序和程序如下:-安全方面的相关信息-相关软件更新的文件化并安全存储在BMW集团;-识别初始和更新软件版本的信息，包括完整性验证数据和安全相关系统的相关硬件组件;-确定更新后的系统与其他系统的相互依赖关系;-确定适用于软件更新的特定目标车辆;-在核实部署前，目标车辆的最后一种配置可能的软件/硬件配置是否与软件更新兼容;-评估、识别和记录软件更新是否会影响车辆安全持续运行所需的其他安全相关系统，或与注册时相比，更新是否会增加或改变车辆的功能;-通知车辆使用者有关更新;-向有关当局或技术部门提供资料。
更新过程当车辆登记后发生安全相关软件更新(包括OTA更新)时，将采用以下步骤:1.    在实施更新之前，BMW集团将确保更新流程能够安全可靠地进行更新。如果更改了更新过程，则需要进行新的验证。2.  BMW集团将评估软件更新是否会直接或间接影响车辆自我认证系统的审批，并记录结果。3.    如果更新不会对任何自我认证系统的遵从性产生影响(例如，更新以修复软件bug)，BMW集团仍将确保采用的更新过程是安全的。4.    然后可能会进行更新，BMW集团将确保所采用的更新过程是安全可靠的。BMW集团将定期验证所使用的流程的安全性。
10 网络安全

随着车辆上电子系统数量的增加，可能试图访问车辆数据甚至操纵其系统的攻击载体也随之增加。为了减少网络安全风险，BMW集团在安全开发生命周期的基础上开发车辆，其中包括设计、生产和监控整个车辆生命周期的硬件和软件。为此，BMW已经实施了许多程序来处理网络安全事件，分析威胁情报并与外部企业和研究机构交流，以及开发和推出车辆的安全更新。BMW是汽车信息共享和分析中心（Auto- ISAC）的积极参与者，该中心是一个分享与汽车领域相关的网络安全威胁和情报信息的行业平台。对于所有的车载和非车载系统，包括连接设备和BMW后端，BMW已经实施了一个安全架构，利用安全设计的方法，并基于最新的行业最佳实践。对于所有的网络物理系统，已经实施了基本的保护级别，这可能包括加密和认证。此外，对于车辆最关键的系统和数据，已经实施了额外的保障措施，以实现对宝马客户和所有道路使用者的更高保护水平。 为了应对网络领域新出现的威胁（如安全驾驶-相关的干扰、操纵、盗窃），BMW集团已经建立了一个全面的网络安全计划。首先，了解车辆安全和网络安全之间的主要区别是至关重要的。车辆安全（见第9章系统安全）非常注重完整性，这通常意味着车辆信号只有在真实、传输和接收正常的情况下才会被采取行动。安全的主要目标也是车辆安全运行的可用性，通常要求系统是可靠的和故障安全的（即，冗余）。因此，网络安全需要关注一个系统或信息的完整性、保密性和可用性。因此，网络安全评估一个系统是否可以被操纵，从而损害这些方面。自动驾驶（AD）正在迫使汽车行业面临新的挑战，这些挑战是由自动驾驶汽车内部、多辆汽车之间以及它们运行的环境之间不断增长的连接性造成的。这些挑战包括从满足安全监管要求到保护车队和客户免受网络安全攻击。为了使车辆能够自动驾驶，更多的功能和更多的接口正在被添加，从而导致一个不断增长的车辆生态系统，如图26所示。其中一些接口处理来自外部的信息，如IT后端系统，其他接口能够控制车辆的驾驶功能。增加新的接口不仅增强了车辆的功能，而且还增加了技术的复杂性，导致恶意行为者的网络攻击面扩大。简而言之，技术已经发展到了一个水平，除非车辆也能安全运行，否则就无法保持安全状态。最终，网络安全原则和实践必须应用于产品开发过程，以确保恶意行为者或攻击者不能任意控制车辆的驾驶系统。


图26.车辆生态系统在不断发展，变得越来越复杂，导致威胁者的攻击面越来越大 随着ADS的复杂性增加，潜在的网络安全风险的可能性也在增加，因此需要适当的网络安全保护。道路使用者和司机的安全依赖于系统的完整性。因此，ADS必须提供足够的保护，防止在所有操作模式下的操纵和未经授权的访问，特别是驾驶功能。宝马集团的首要任务是确保其产品的最高安全标准，并以最佳方式保护其安全和安保。从SAE L2级扩展到SAE L3+级车辆的网络安全挑战在于，ADS变得越来越依赖外部数据源，如传感器信息、高清地图或定位数据。如果这些数据的完整性或真实性受到损害，ADS的构件将使用不正确的数据来操纵车辆沿其路线行驶。这最终可能导致车辆定位在不正确或不存在的车道上，无法识别障碍物，或误解交通状况。因此，BMW集团有责任建立足够的网络安全保障和控制措施，以适当地保护自动驾驶汽车免受恶意攻击。
10.1 BMW集团的网络安全计划

在本节中，将进一步介绍BMW集团应对其产品面临的不同威胁的方法。此外，本节还概述了BMW集团用于设计和建造抵御网络攻击的自动驾驶系统的产品开发过程。安全必须被设计到一个系统中，以实现全面覆盖。一个严格的、完全集成的安全工程流程是创建安全的、因而也是安全的系统的基础。该过程有助于紧密地整合各种安全控制和保障措施，这将在后面的章节中描述。传统的IT网络安全注重不同的安全原则，其中一个最基本的原则被称为 "深度防御"。BMW集团在许多其他网络安全原则中采用了深度防御，以确保不同系统层的不同控制措施到位，因此车辆不单单依靠其周边来抵御网络攻击。在BMW集团的产品中有效利用网络安全技术和功能是深入防御范式的结果。 10.2 宝马集团的安全开发生命周期方法

该计划的关键要素是安全工程、安全技术和功能以及安全操作，如图27所示。虽然本节提供了关键要素的概述，但更多的细节可以在本章的深入探讨部分找到。


图27.宝马集团的安全开发生命周期方法概述 在安全工程阶段，BMW已经开发并实施了基于风险的汽车开发方法，基于安全设计的原则。作为安全工程过程的结果，适当的安全技术和功能被设计出来，以满足BMW的客户和其他道路使用者的不同保护需求。在工程设计过程中，每个控制单元、功能或后端系统的设计都有一个基本的保护级别，并由BMW的安全专家进一步评估。如果评估发现有更高的保护需求，将设计扩展的保障措施来弥补这一差距。第三个要素--安全操作--在BMW集团的产品发布到市场上时开始实施。它利用现代技术以及行业合作来识别新的车辆威胁，分析其对产品的影响，并根据识别的风险触发后续流程，如车辆软件更新。汽车ISAC是汽车行业的主要平台，用于交流有关新兴威胁、事件处理和汽车网络安全最佳实践的宝贵信息。一般来说，所有的汽车网络安全活动都是为了满足四个保护目标：安全，财产，隐私和数据安全，以及客户满意度。安全作为一个保护目标的重要性已经在第9章中讨论过了。隐私和数据安全旨在保护客户和车辆数据，财产的保护目标涉及所有与客户和BMW集团的金钱损失有关的风险，例如，由盗窃或操纵造成的。最后但同样重要的是，客户满意度的保护目标是处理操纵和安全事件，加强公众对BMW集团产品的信任。在BMW集团，网络安全是非常被重视的，因此企业管理层负责实现汽车网络安全目标，并在整个公司内建立包含网络安全原则的流程，作为安全设计的一部分。这些原则的执行情况由我们的员工进行跟踪，他们参与了一个由全公司所有相关业务部门的网络安全专家组成的网络。 该方法结合了多个组织发布的网络安全最佳实践出版物，特别是美国国家运输安全局关于"自动驾驶系统（ADS）：安全2.0的愿景"、"为交通的未来做准备。自动驾驶汽车3.0（AV 3.0）"和 "现代汽车的网络安全最佳实践"，所有的Auto- ISAC最佳实践指南，SAE的 "网络物理车辆系统网络安全指南J3061"，以及ISO/SAE CD 21434 "道路车辆-网络安全工程"，目前仍在开发中。在以下章节中，可以找到更多关于宝马集团网络安全计划的关键因素的细节。
10.3 深入探讨：安全工程BMW集团遵循一个结构清晰的产品开发流程。为了使每个保护目标达到适当的安全水平，将汽车安全概念纳入产品开发过程的早期阶段是至关重要的。BMW集团以设计为导向的安全开发过程可分为五个基本阶段： 1.    设计阶段：建立汽车安全架构和定义有效的基本保护水平的要求，这与汽车网络安全风险监测和威胁建模相配合。2.    概念阶段：根据有效保障措施的新概念进行风险限制，这导致了额外的安全要求。所有这些都是基于深度防御和其他常见的安全原则。3.    ECU和软件开发阶段：综合规划和测量安全成熟度水平，例如通过实施概念和里程碑，特别是对于高度连接的组件和AD功能。4.    集成和验证阶段：针对最初确定的风险以及开发生命周期中新发现的威胁进行全面的安全测试和验证，包括渗透测试以纳入黑客的观点和源代码审查。5.    优化阶段：对安全设计和一般开发过程进行持续的改进和更新。 BMW集团不仅对控制单元和车辆功能进行了所有这些步骤，还将其纳入车载网络、通过无线电接口（如移动无线电、蓝牙）的外部车辆连接以及所有物理接入点（如OBD接口）的设计中。BMW集团的产品开发过程采用了混合形式的瀑布模型，或前面提到的V型模型，与敏捷方法相搭配。一方面，整个车辆的开发遵循瀑布模型，另一方面，在开发不同的ECU软件部分（如AD功能）时采用敏捷方法。这种混合方法使BMW集团能够结合两者的优点，使功能开发具有高度的灵活性，并为安全测试提供固定的里程碑。 BMW集团认为渗透测试是其开发过程中集成和验证阶段的一个基本要素：只有攻击者的观点才能提供关于系统设计和实施中存在缺陷的有效信息。为了从黑客的真实输入中受益，以达到验证和确认的目的，BMW委托内部和外部的网络安全顾问。调查结果和随后的行动会在市场启动前反馈到开发工作流程中。渗透测试作为安全操作的一部分被重复进行，既要定期安排也要根据需要进行。 BMW产品网络安全战略的另一个重要因素是手动源代码审查和自动代码扫描，以检查控制单元和我们的服务器、应用程序和第三方服务上的软件关键点。 10.4 深入探讨：安全技术和功能

BMW集团在安全技术和功能方面的汽车安全方法，如图27底部所示，包括三个部分：-> 安全架构 - 遵循安全设计的方法，特别是深度防御。-> 基本保护级别--由所有控制单元、功能和系统组件的默认保障措施集定义；以及。-> 扩展保护级别--适用于高度敏感的控制单元、功能和系统组件（如AD功能或远程信息处理）的一套单独的高级保护措施。BMW集团的安全工程师评估了总体保护目标、相关的攻击场景以及每个客户功能和车辆控制单元的攻击者特征，以确定必要的个人保护级别并确定适当的技术解决方案。基本保护级别将适用于未来几代汽车的所有车载系统控制单元。它包含的元素有：安全的板上和板下通信手段，ECU、车辆和IT后端认证机制，以及密钥管理功能（密钥和认证管理），安全的OTA更新等等。我们的工程师正在不断监测行业标准和最佳实践，以保持基本保护水平的更新。除基本保护外，扩展的安全保护是在对车辆及其生态系统的每个单独的控制单元、功能或系统组件的必要保护水平进行评估后开发和实施的。就车辆结构而言，安全功能被设计为多层深度防御方法。深度防御的基本思想是建立一个具有多个保护级别的系统，从而使车辆能够保持一般的保护级别，抵御攻击，即使在单个保护级别失败或被渗透的情况下也不会完全被破坏。基于这种方法，BMW集团建立了一个层级模型（见图28），包括六个与安全有关的层级:-> 第三方-> IT后端-> Car2Backend连接-> 车辆接口-> 车载网络-> 电子控制单元 该层模型涵盖了车辆以及其与车辆生态系统的接触点。基本的和扩展的保护级别都会影响到单独的层和上述层的多个层。在这些不同的安全层中正确实施所有的保障措施，可以确保对单个保障措施的成功攻击不会损害整个系统的完整性。为了进一步概述该层模型，图28显示了一个不同层如何影响作为车辆和后端系统一部分的自动驾驶功能的例子。


图28.BMW集团的车辆安全架构的层模型 就AD而言，核心功能，即传感器融合、驾驶策略和车辆运动控制，位于多层架构的最内圈。在这种情况下，这些是车载网络和ECU的层。外部数据也是AD功能的一个重要组成部分。例如，高清地图数据在AD操作中被使用。这些数据需要定期更新。然而，AD的核心功能从未与任何车外实体直接通信，反之亦然。相反，外部通信是通过其他ECU和专用接口，按照最小权限原则进行代理和防火墙。在这个例子中，来自第三方地图供应商的AD地图更新将首先在其源头得到认证，并转发到BMW集团的IT后端层。在那里，首先进行质量检查以及数据融合。然后，通过相互认证和加密的车辆-后端链接，车辆将在空中下载必要的地图更新。然后，地图数据在ECU上进行本地解密，例如，在信息娱乐领域，它被管理在一个专门的存储空间。最终，AD功能可以通过一个专门的车载网络接口，通过一个防火墙网关导入数据，作为车载网络的一部分。最后，ECU将在本地检查来自IT后端的真实性信息，以确保数据的端到端完整性，然后再将其用于AD目的。五层中的每一层的所有保障措施的结合，确保了在任何时候都不会有对抗性数据被注入，没有任何数据改变不被发现，而且外部攻击者不能直接访问任何可能影响车辆AD功能安全运行的车辆运动控制接口。 10.5 深入研究:安全操作

在完成安全工程阶段后，车辆进入生产阶段并交付给客户。系统化的汽车安全方法涵盖了从设计阶段到车辆可以交付给客户的市场启动阶段。然而，不断变化的威胁环境要求宝马集团在客户交付后全力以赴，跟上技术进步和潜在的恶意行为者的活动。
10.6 安全监控/威胁情报

BMW集团监控全球安全事件，以保持对其车辆和IT系统的新发展和攻击情况的了解。信息通过OEM官方渠道和网络安全专家在网络安全和黑客会议上讨论。新的威胁被评估为与公司产品的关联性。此外，宝马集团认真对待供应链安全，并与硬件和软件制造商签订了协议，以尽早提醒他们注意潜在的漏洞。关于威胁情报交流合作的更多细节将在后续章节中解释。
10.7 事故管理

与IT行业一样，在产品的整个生命周期中，规范的软件生命周期对于快速有效地弥补潜在的安全漏洞至关重要。此外，有必要考虑到老化的密码学、证书撤销以及新的攻击性技术的快速发展。因此，BMW集团为处理汽车安全事故建立了明确的流程。处理事件的能力强烈依赖于宝马集团的供应商的支持。传统的控制单元供应商的模式已经不再可行，他们认为软件是整个系统的一个组成部分，不需要在系列推出后进行广泛的更新。BMW集团很清楚这个问题，并在其汽车价值链中解决这个问题。主动的车辆软件支持正在成为车辆开发的一个重要组成部分，使我们能够在潜在的安全漏洞出现时迅速做出反应。这就是为什么BMW集团要求所有为未来一代汽车提供部件的供应商保持在短时间内采取行动的能力，也要超越积极的开发阶段。
10.8 网络安全合作和伙伴关系（Auto-ISAC)

BMW集团意识到，只有与合适的伙伴合作，才能达到较高的网络安全水平，因此赞赏伙伴关系，积极参加各种合作，并促进威胁信息的交流。BMW集团通过与其他汽车公司就网络攻击和共享威胁情报进行合作，积极寻求网络安全专家群体的支持，同时仍然保持在技术解决方案上的竞争。在汽车网络安全领域，鼓励合作的一个重要的非营利组织是Auto-ISAC，由汽车行业于2015年8月成立。Auto-ISAC通过分享关于新威胁和真实事件的信息，以及提供关于如何改善汽车组织内网络安全流程的最佳实践，努力提高汽车行业的安全水平。BMW集团是Auto-ISAC的创始成员之一，从那时起就一直积极参与，致力于制定各种网络安全流程的最佳实践指南，参加有关当前网络安全主题的行业会议，并分享相关威胁和漏洞信息。BMW集团的安全专家处理由Auto-ISAC情报平台提供的威胁情报，并在必要时将其转发给工程师或事件响应团队。就最佳实践而言，BMW集团不仅积极与业界合作开发，而且还完全内化了以下Auto-ISAC最佳实践指南。安全开发生命周期、治理、事件响应、第三方合作与参与、培训与意识、风险管理以及威胁检测、分析和监控。本节所示的整体方法与所有Auto-ISAC最佳实践指南保持一致，以成功确保产品的安全。除了Auto-ISAC之外，BMW集团还与许多IT安全公司建立了合作关系。如果合作伙伴发现了安全漏洞，当需要进行时间紧迫的补救时，事件响应团队会对其进行适当处理，安全工程团队也会对其进行长期安全设计改进。此外，与学术界和研究界的定期联系和交流有助于宝马集团长期提高产品的网络安全。BMW的错误赏金和漏洞披露计划鼓励独立的安全研究人员（道德黑客）向其报告发现的安全漏洞。同样重要的是，BMW集团正积极为ISO/SAE联合工作组21434 "道路车辆-网络安全工程 "做出贡献，并与全球汽车行业一起，为每个汽车公司的安全工程工作制定合理的最低要求。
10.9 安全的车辆数据访问

BMW集团意识到其联网车辆所产生的数据越来越多，而用户和第三方也要求访问这些数据。BMW集团通过提供BMW和MINI CarData，确保了对车辆用户产生的数据的访问，以及对第三方数据的可移植性。BMW集团是最早引入这项服务的汽车制造商之一，并根据欧盟通用数据保护条例（EU-GDPR）执行这项服务。CarData是 "扩展的车辆方法 "的实施，该方法得到了德国汽车工业协会（VDA）的支持。图28中的 "中立服务器"是该方法的一个重要组成部分，确保BMW集团为联网车辆的服务和数据维持高水平的网络安全和数据隐私。通过BMW CarData，BMW集团为其客户提供了查看其车辆的选定远程信息处理数据的机会，如果感兴趣，还可以主动为他们信任的第三方发布这些数据。为了能够提供量身定做的服务，数据访问许可的请求总是由第三方发起，然后由用户批准。
11.  验证和确认（V&V）

验证与确认代表了前几节中提到的V型模型的右半部分。对于SAE L3级BMW ADS，这包括每个级别的V&V，包括。SW级（例如，代码覆盖率）；组件级（例如，传感器）；子系统级（例如，自动转向控制）；系统级（例如，SAE L3级BMW ADS的功能逻辑）和车辆级（例如，SAE L3级BMW ADS与其环境的交互）。对于验证，每个级别都要根据V型模型左半部分的参考具体设计要求进行测试，这些要求满足各种标准，例如之前在第9章系统安全中列出的标准。对于确认，SAE L3级BMW ADS还针对各种预先定义的现实场景和真实世界的交通情况进行了不同级别的测试。在这种情况下，有几种工具被使用，包括。硬件/软件（HW/SW）开环再处理，HW/SW在环模拟（例如，包括最低风险条件的驾驶策略）；驾驶模拟器中的客户研究（例如，驾驶员与车辆的互动）；真实世界的开环试驾（例如，传感器性能）和闭环（例如，驾驶动力学）。最后，目标车辆中的闭环试车也用于全车验证，以确保系统在道路上适当地运行。在这个整车水平上，对SAE L3级宝马ADS进行严格的测试，类似于对传统BMW汽车进行的测试。通过将上述背景下的模拟与车辆级别的测试相结合，SAE L3级BMW ADS正在开发中，以提供对其运行安全性的统计学信心。在SAE L3级BMW ADS初步部署后，通过收集和分析在用车辆的匿名数据，持续监测系统的安全性。如有必要，将相应提供所需的安全更新。 11.1 验证与确认介绍

系统安全的验证和确认是BMW集团的重中之重。因此，BMW集团正在积极研究国际标准（如ISO26262、ISO/PAS 21448），以进一步建立自动驾驶的安全架构、概念和验证。验证的一个关键项目是PEGASUS，这是一个德国研究项目，旨在建立合适的验证方法，重点是SAE L3级公路驾驶，并计划开展后续项目（例如，SetLevel4至5和VV-Methoden）。BMW集团还在行业内合作，定义安全标准以及适当的工具和技术，这些都记录在白皮书 "自动驾驶的安全第一 "中。该白皮书中确立的观点和概念是BMW集团为SAE L3级BMW ADS进行验证和确认活动的指导原则。基于BMW多年来为系列生产车辆开发高级驾驶辅助系统（最高为SAE L2级）所获得的经验，已经开发了验证和确认流程和组织结构，以解决功能的所有相关安全方面的验证，并在对自动驾驶系统有意义的地方扩展这些流程、结构和方法。术语 "验证 "和 "确认 "定义如下：- 验证："通过提供客观证据，确认指定的要求已经得到满足"[ISO 15288]。- 确认：通过提供客观证据，确认特定用途或应用的要求已得到满足" [ISO 15288]。
11.2 测试目标类别

SAE L3级BMW ADS的安全相关测试目标类别来自于《自动驾驶安全第一》白皮书的安全愿景章节中确立的12项原则。安全相关的测试目标类别是:- 功能安全（ISO 26262）- 被控功能的技术安全（SOTIF）。- 人为因素的被控功能安全（SOTIF）- 安全问题- 仿真的验证这些类别也涵盖了第9章中描述的安全目标-系统安全。遵照ISO 26262，所有的功能要求都从系统级追踪到软件级，并与相应的测试用例相联系，以进行验证和确认。
11.3 一般方法

一般来说，一个多步骤的方法已经被定义，以确保SAE 3级BMW ADS的安全部署和持续运行（见图29）。1.    分析--设计的安全性。2.    验证--验证安全设计的要求。3.    确认--通过重点测试进行统计证明。4.    现场操作--部署后的现场观察。


图29.核查和验证过程（参考：《自动驾驶的安全第一》白皮书）在开发过程中，需求来自于安全设计方法（分析），其中包括功能安全的危险和风险分析、技术SOTIF、人为因素SOTIF和安全方面。除了需求之外，开发过程的质量审计或通过分析技术实现稳健的系统设计都是在分析阶段完成的。 验证步骤确保通过安全设计策略得出的要求得到满足。这个步骤确保已知的情况被覆盖，并且系统的行为符合规定。基于设计的安全原则是安全方法的基础。然而，仅仅将系统的安全性建立在逐一安全设计的基础上是不够的，因为一些不安全的情况在开发阶段可能是未知的。因此，使用统计方法来证明安全性，包括开发过程中以前未知的情况，并有足够的信心建立一个适当的统计论证（验证）。验证将经过验证的系统放在系统发布后在日常驾驶中可能遇到的场景或情况下进行测试。为此，我们建立了一个数据库，其中包含了在现实世界中发生的、具有高度代表性的场景，并考虑到了其关键程度。此外，还考虑了角落案例，这些案例测试了系统在ODD边界的行为，并结合了极端/挑战性的测试参数。此外，还实施了量产应用后观察流程（现场操作）。这包括对ADS安全性能的现场监测，以及为解决部署后发现的弱点所需的任何更新。在这个步骤中，ODD也被持续监测，并根据先验假设进行验证。所有步骤的结果都被反复反馈到ADS设计以及开发和测试过程中，以确保系统安全的所有方面得到持续改进。当需要对系统进行改变时，BMW遵循严格的改变管理过程，以确保系统的改变不会引入新的风险，如第九章系统安全所述。
11.4 不同的测试平台和模拟

为了测试系统本身和系统组件的相关方面，BMW使用了表9中列出的不同测试平台。如《自动驾驶安全第一》白皮书中的测试平台一章所述，这些平台在虚拟和真实刺激的应用方面有所不同。

测试平台	缩写.	描述	例子
软件在环(闭环)Software-in- the-Closed- Loop	SiL	部分目标SW是在原型硬件上执行的，而SW的决定影响了虚拟生成的激励。	E.g. MATLAB, Simulink model   AUTOSAR Stack, C++ DLL
软件响应(开环)Software reprocessing (open loop)	SWRepro	目标SW在原型硬件上执行，而SW的决定对不影响激励。	E.g.replayofsynthetic datatostimulateaCEM
硬件在环Hardware-in- the-Closed- Loop	HiL	目标SW在目标HW上执行，而HW输出影响HW输入。	E.g.  AUTOSAR Stack on Radar without frontend
硬件响应Hardware Reprocessing (Open Loop)	HWRepro	目标软件在目标硬件上执行，而硬件的输出并不影响硬件的输入。	E.g. monitor HiL
驾驶员在环Driver-in-the- Loop	DiL	目标软件在目标车辆或模型中的原型或目标硬件上执行，环境被虚拟刺激所改变，而驾驶员的反应会影响车辆的行为。	E.g. driving simulator (augmented reality for safety critical  maneuvers)
车辆在环Vehicle-in-the- Loop	VIL	目标软件在目标车辆硬件上执行，环境被虚拟刺激所改变，而驾驶员的反应会影响车辆的行为。	E.g. driving simulator or ViL (augmented reality for safety  critical maneuvers)

所有这些测试平台都用于验证和确认SAE L3级BMW ADS的ODD内的OEDR。在每个平台内，仿真起着重要的作用，整个系统（如带有轮胎和AD功能的整车）、一个子系统（如一个执行器或一个硬件控制器）或一个部件（如一个传感器或一个通信总线）可以被仿真。所使用的模型是对物理现实的抽象，并依赖于对现实世界中真实复杂性的简化。为了达到仿真模型所需的准确度，BMW通过对车辆测试中的现实世界的角落案例进行验证，不断改进我们的仿真模型。
11.5 车辆测试和数据收集

虽然仿真测试有助于验证很多不同的情况，但由于以下原因，在目标车辆中的实际驾驶也是验证和确认过程的一个重要部分。- 用于车辆和传感器模型验证的真实世界数据：车辆数据和车辆传感器检测到的数据是量化和论证模型准确性的重要来源（例如，车辆动力学或模拟传感器模型）。- 用于场景积累的真实世界数据：车队数据可用于确定首先模拟哪些相关（角落）案例。- 用于交通建模的真实世界数据：在模拟中产生新的场景需要真实的交通参与者行为，以便使虚拟模拟保持意义和代表性。- 在预定的参考路线上的性能评估和自由路线测试：通过在美国不同地区（不同的州、特定的气候条件、道路条件、基础设施和其他道路使用者的行为）的预定参考路线上定期评估系统性能，我们可以确定并考虑到地区差异。- 执行特定的测试案例：由于仿真环境的潜在缺陷或模型的不完善，特定的测试案例可能需要在目标车辆上执行。 特别是，在SAE L3级BMW ADS的开发阶段，BMW正在执行世界范围内和美国特定的车辆测试（例如，详尽测试和耐久运行），以及应用部署后的现场监测（例如，用于验证开发期间假设的ODD）。在向客户发布SAE L3级BMW ADS之前，BMW将完成研究，证明该系统可由驾驶员安全处理（例如，激活、停用和接管请求）。此外，BMW集团的开发车队正在全球范围内行驶数百万英里，在巨大的数据存储中心收集PB级的车辆数据（和参考数据），用于开发和验证测试。这项活动也在北美进行，以确保在开发过程中考虑到美国ODD的特殊情况。来自世界范围和美国特定耐久性运行的记录数据被用来验证功能逻辑的安全性（例如，安全相关的性能指数），并验证我们的仿真框架中使用的模型。另外，遇到的真实世界的情况被用来产生现实的模拟场景，特别是角落的情况，然后可以通过相关的参数来改变，以验证我们的算法在系统安全方面的稳健性。 11.6 测试场景

为了选择相关的测试场景，BMW考虑了几个输入源（例如，车队监测、耐久运行、自由开放道路测试和专家知识）。下面的列表概述了我们在系统安全方面重点验证的驾驶场景特征。- 相关的预期现实世界事件，基于等价类的方法（见测试策略）。- 在ODD中的角落案例。- 当达到ODD的极限时的回退情况或可能导致故障操作或故障安全状态的系统故障。- 避免碰撞的情况（NHTSA的ADS可测试案例框架 - DOT HS 812 623）。回退/最小风险行为是通过明确地产生SAE3级BMW ADS功能内的故障或组件的接管状态被仿真或SAE3级BMW ADS故意在ODD限制下运行的情况来验证和确认的（见第5章。回落（最小风险条件））。这可以通过模拟或在测试轨道上驾驶，并注入误差或故意接近ODD极限来实现。此外，通过耐久运行和现场观察收集回退情况的真实数据，并用于持续改进接管策略和系统的坚固性。
11.7 测试策略

下图显示了上述测试平台的一个例子，用于验证和确认被测试的系统元素与相应的测试目标类别有关。


图30.测试目标及其对应的测试平台和系统元素 在SAE L3级BMW ADS的验证中，关键的挑战之一是统计学上证明系统的安全性和没有驾驶员干预的积极风险平衡（见白皮书《自动驾驶的安全第一》）。 在验证自动驾驶功能安全性的纯统计、黑箱方法中，"自动驾驶车辆必须行驶数亿英里，有时甚至数千亿英里，才能证明其在伤亡方面的可靠性"。为了以可行的努力应对这一挑战，要测试的影响因素的参数空间被划分为所谓的等价类，正如《自动驾驶的安全第一》白皮书中提出的那样。等价类是指与它们对不安全结果的影响比例有关的因素类别。定义等效等级的标准由暴露程度、严重程度和可控性水平（如ISO 26262中的定义）支持，作为操作情况的代表样本，将被归入等效等级。更详细的等价类定义，请参考白皮书 "自动驾驶的安全第一"。使用等价类的概念有助于在最关键的情况下（角落案例）。通过这样做，可以在驾驶和仿真验证的里程数与据此代表普通车辆经历的现实生活里程数之间产生一个杠杆系数。因此，专门选择的用于验证的里程数（现实世界的驾驶和模拟）可以代表客户在常规驾驶条件下驾驶的更多里程数。将数百万英里的车辆真实世界测试与包括场景变化在内的数百万英里的模拟相结合，再加上等值等级的概念，可以管理上述挑战，并在没有驾驶员互动的情况下提供系统安全和积极风险平衡的统计证明。
11.8 车辆-驾驶员交互

为了验证车辆与驾驶员的互动概念（人机界面、接管情况等），在开发过程中使用了驾驶员在环（DiL）和车辆在环测试。SAE 3级BMW ADS在预先定义的场景中对驾驶员的可控性水平和预期的驾驶员反应时间通过客户研究得到验证。在与客户一起上公共道路之前，人机界面与驾驶员的互动在驾驶模拟器研究中得到验证，有代表性的客户、安全驾驶员和专家驾驶员在封闭的试验场和自由道路上驾驶。此外，通过耐久运行和现场观察，收集接管情况的真实数据，并用于接管策略的持续改进。
11.9 安全相关的高清地图内容

与安全相关的高清地图内容是通过与参考数据集的比较来验证的。系统测试是为了确保在地图/现实世界不匹配的情况下，AD系统在统计学上是安全的。使用安全设计方法、仿真模拟和端到端验证，我们确保地图内容尽可能的准确。车队测试和现场监测也用于分析暗示地图可能是错误来源的地图数据。
12 用户教育和培训

虽然BMW的SAE L3级BMW ADS旨在为最终用户提供直观的体验，但对客户进行系统使用方面的教育，以及向公众宣传BMW的自动驾驶汽车方法仍然是有益的。对于客户来说，重要的是教育他们了解系统的功能，包括他们作为接管用户的角色，以及教育客户了解系统的能力和限制。这种教育对于客户了解他们在使用该系统时的责任，以及避免过度信任和/或滥用该系统非常重要。由于经销商是客户的主要接触点，BMW有责任为经销商的销售和服务提供适当的资源，如教育工具和培训，以解释系统的功能、责任和限制。最后，对BMW来说，重要的是通过这种安全自我评估等工具向广大公众传达BMW对自动化的态度。 消费者教育是建立公众信任和实现新HAD系统的全部潜力的关键因素。BMW集团将在客户在其车辆上体验SAE L3级BMW ADS之前向其提供有关SAE L3级BMW ADS的信息。这将通过教育材料，以及通过消息灵通、训练有素的零售和服务人员来完成。然而，我们的直接客户将不是我们SAE 3级BMW ADS系统的唯一用户- 想到了一些常见的使用情况，如出租汽车和其他将与SAE L3级BMW ADS控制的车辆互动的道路使用者。因此，不仅要教育BMW的客户，而且要向公众提供信息，这一点很重要。
12.1 对经销商的培训

BMW的消费者教育方法的第一个重要支柱是经过适当培训的零售人员。推进移动性创新是我们战略重点的一个核心要素。提供领先的技术需要一个系统的方法来与BMW的经销商和客户沟通，并对他们进行培训。为了最大限度地提高他们对BMW的产品和服务组合的满意度，在每次商业发布时都会提供许多教育、信息和资源渠道。在提供创新技术方面的历史和经验，为提供必要的教育工具以支持推出SAE L3级BMW ADS奠定了基础。作为BMW集团整体教育理念的重要组成部分，BMW集团向所有服务技术人员提供技术培训，以确保BMW客户的车辆得到最高标准的维护和修理。培训有多种形式，包括但不限于在线网络课程、自学参考材料、技术视频以及教师指导的实践课程。BMW车辆的自动化将要求不仅要对消费者进行新技术的教育，而且要对BMW的服务技术人员进行教育。作为第一步，已经开始对技术人员进行驾驶辅助系统的教育，如盲点检测（BSD）、高级巡航控制和车道保持辅助，这只是BMW集团ADAS功能中的几个例子。教育技术人员的一个关键部分是告诉他们在需要这些系统时如何正确诊断和维修。随着向更高水平的车辆自动化迈进，自动系统的诊断和维修将持续发挥关键作用。 12.2 对系统用户的教育

消费者教育方法的第二个重要支柱是对用户进行SAE L3级BMW ADS的教育。a) 用户教育的内容在用户教育过程中，将涉及的内容有。- ADS的规定使用/功能意图，以及用户作为 "接管准备用户 "的剩余责任（例如，紧急接管情况）。- 系统被设计为运行的条件，包括其ODD和传感器的限制；以及。- ADS的操作参数，如系统的正确使用（例如，激活/停用）。当车辆在SAE L3级BMW ADS模式下运行时，对驾驶员角色的明确沟通将是用户教育的核心内容。根据BMW在SAE L2级ADAS的经验，以及从其他行业吸取的教训，BMW相信适当的沟通将对道路安全产生很大影响。必须非常清楚地说明接管准备用户的责任。驾驶员必须能够在系统发出TOR后的较短时间内恢复驾驶任务。这也意味着，当车辆在SAE L3级BMW ADS模式下运行时，执行完整的操作性驾驶任务时，驾驶员不应该，例如，睡着或受到任何影响。另一个重要问题是驾驶员的模式意识。这一点尤其重要，因为量产的BMW iNEXT车辆将同时配备SAE L3级BMW ADS功能以及其他几个驾驶辅助系统（例如，车道保持辅助和变道辅助）。为了让驾驶员在参与不同SAE辅助驾驶级别的系统时正确理解他/她的角色，需要明确告知每个级别中驾驶员的责任，见表11和图31。

SAEL2级                             SAE  L3级
ADAS执行OEDR的部分工作	ADS执行完整的OEDR
驾驶员始终完全负责	司机作为准备接管用户
驾驶员的立即（自发）反应	过渡需求后的几秒钟
驾驶员监控：重点关注注意力	司机监控：注重接受能力和基本警惕性
司机必须遵守交通规则	ADS必须遵守交通规则

表11.SAE L2级和SAE L3级中驾驶员的责任


图31. 任务分配和责任转移 b) 如何教育用户从BMW的经验和研究中，知道喜欢学习的方式因人而异，例如取决于年龄、性别，甚至是过去的品牌经验（新的与以前的宝马司机）等因素。为了满足个人需求，创建了一个多渠道的经销商和客户教育方法。这包括诸如以下渠道：- 车主手册（印刷品、车外数字、车载数字、智能手机应用程序）- 车载智能个人助理（IPA）。- 视频（快速操作、培训、营销）。- 紧凑的 "入门指南"（印刷或数字手册，以简单易懂的形式解释重要的车辆特征和功能）- 智能手机应用程序- 实践演示、教程和诊所- 体验式驾驶课程BMW提供的全面教育工具为SAE L3级BMW ADS的推广奠定了基础。自SAE L2级ADAS与BMW的驾驶辅助系统和驾驶辅助系统选项推出以来，BMW已经采用了与这些系统的主题专家的体验式学习活动。2015年，BMW集团开始为员工提供启动前的演示课程和体验式驾驶课程。这些课程由主题专家主持，为员工提供关于我们首个商业化的SAE L2级ADAS的真实体验。从2018年开始，BMW推出了更先进的SAE L2级ADAS，包括辅助驾驶Plus功能（有史以来第一个转向和交通堵塞辅助，可以在限制的 "交通堵塞 "条件下使用）。在商业启动之前，BMW扩大了演示和体验式学习活动，包括公司外的利益相关者，如营销机构合作伙伴和车展人员的活动。然后，这些体验式活动首次被纳入到汽车发布活动中。c) BMW Genius2013年推出的BMW天才计划是为了提升零售环境中的客户体验。该计划在经销商中设立了一个新的角色，其唯一目的是作为一个非委托的产品专家。其主要职责是在购买之前、期间和之后协助客户。产品天才们在BMW产品以及客户服务方面都接受了密集的培训。在销售过程中，他们协助进行需求评估，使消费者与特定的BMW车型和功能最匹配。售后方面，通过BMW EncoreTM项目处理交付过程和后续的 "交付"，客户在有时间体验车辆后可以回到经销商处获得更多解释。
12.3 以人为本的ADS设计

对于今天的公众来说，有条件的自动驾驶SAE L3级车辆是一个新概念。BMW坚信，使消费者能够与SAE L3级BMW ADS安全互动的最佳方式是使用户体验尽可能直观，并围绕客户设计产品。没有办法保证每个司机都能得到个别指导。诸如租车、二次销售，甚至像同一家庭的多个司机这样简单的使用案例，说明了为什么BMW不能仅仅依靠直接的客户教育。这就是为什么BMW如此重视开发的车内系统。车辆的人机界面--无论它们是否配备了ADS--都被设计成不言自明的，因此使用起来直观、简单，最重要的是安全。这是通过提供用户定位、可控性、反馈以及在与我们的系统互动的过程中提供适当的帮助来实现的。这使我们能够提供高效、有效和令人满意的用户体验，并在设计和开发过程中不断进行实证研究测试。
12.4 对公众的教育

最后，在讨论消费者教育的话题时，不能只关注BMW集团的客户。消费者教育的一个方面也是对所有在日常通勤中会接触到BMW系统的公众的教育。这份安全评估报告是BMW将如何向感兴趣的公众传达SAE L3级BMW ADS的能力--同时也是其局限性的一个例子。BMW相信NHTSA所设想的自愿安全自我评估是高度自动驾驶汽车系统的一个重要工具，可以传达有关系统发展现状和剩余挑战的信息。
缩写

ABSAntilockBrake SystemACES      Automated- Connected - Electrified - SharedACSM     AdvancedCrash- and Safety Management Control UnitAD  AutomatedDrivingADAS     AdvancedDriver Assistance SystemADSAutomatedDriving SystemAEBS      AdvancedEmergency Braking SystemAI    ArtificialIntelligenceASILAutomotiveSafety Integrity LevelAuto-ISAC     AutomotiveInformation Sharing and Analysis CenterAUTOSAR      AutomotiveOpen System ArchitectureAV   AutomatedVehicleBSDBlindSpot DetectionBCPBasicCentral PlatformBMW     BayerischeMotoren WerkeCD  CommissionDraftCL   Closed-LoopCS   CybersecurityDC  DirectCurrentDiL  Driver-in-the-LoopDOT Departmentof TransportationDSC DynamicStability ControlE/E  Electrics/ElectronicsECE EconomicCommission for EuropeECUElectronicControl UnitEDR EventData RecorderDAS DriverAssistance systems HAD HighlyAutomated Driving FMVSS: FederalMotor Vehicle Safety StandardFuSa  FunctionalSafetyGB   GigabyteGNSS     GlobalNavigation Satellite SystemGPS GlobalPositioning SystemHD  HighDefinitionHiL  Hardware-in-the-LoopHMI HumanMachine InterfaceHO  Hands-OnHOR       Hands-OnRequestHW HardwareIEC  InternationalElectrotechnical CommissionIPA  IntelligentPersonal AssistantISO  InternationalStandardization OrganizationISTQB     InternationalSoftware Testing Qualifications BoardIT    informationtechnologyL2   SAELevel 2L3   SAELevel 3L3+ SAELevel 3-5LED LightEmitting DiodeLIDAR     LightDetection and RangingMB  Megabyte MIL-STD Military StandardMISRA Motor Industry Software Reliability Association MoU Memorandum of UnderstandingMRC Minimal Risk ConditionNCAP New Car Assessment Program NFC Near FieldCommunicationNHTSA National Highway and Traffic Safety Administration NIST National Institute of Standards and TechnologyOBD On-Board-Diagnosis ODD Operational DesignDomainOEDR Object and Event Detection and Response OEM Original Equipment Manufacturer OL Open-Loop  OTA Over-the-AirPAS Publicly Available Specification PEGASUS Project for the Establishment of Generally Accepted quality criteria, tools and methods as well as Scenarios and Situations for the release of highly-automated driving functions (Germanresearch project)PR   PublicrelationsPR Hacker  Hacker,who wants to generate PR with the publication of a hackSAE Society of Automotive EngineersSiL  Software-in-the-LoopSOTIF  Safetyof The Intended FunctionSW  SoftwareTO  TakeOverTOR TakeOver RequestU.S. UnitedStatesUN  UnitedNationsUNECE   UnitedNations Economic Commission for EuropeV&V Verificationand ValidationViL  Vehicle-in-the-LoopVIN VehicleIdentification Number